私は最近、新しいアプリケーションの認証を実装しようとしていましたが、私は多くの質問を残していました。OAuth 2は、ソーシャルログインなしでシンプルなWebアプリケーションを確保する方法ですか?
私は現時点では、これに関する話題はOAuth 2またはJWTであることを知っており、そのように実装を開始しました。しかし、あなたのアプリケーションがソーシャル・ログインを使用せず、他のアプリケーションとユーザーのアカウントを決して共有しない非公開のSSOであれば、そのメリットはありません。私が知る限り、このアプリケーションは、クッキーセッションに依存する典型的な認証メカニズムの実装がずっと簡単です。私はこれを前提にしていますか? FacebookやTwitterはどのようにしてユーザーのネイティブWebアプリケーションにログインしていますか?私が知る限り、Facebookはクッキーを使用しています。
私は将来、クッキーがうまく動作しないため、モバイルアプリケーションが存在する可能性があることを知っています。その状況では、トークンベースのアプローチを使って問題を解決していますか?単にsessionIdをトークンに置き換えて、セッションと同じ方法でリクエストごとに検証されるAuthentication:Bearerタイプを使用できますか?私は、JWTがトークンに直接情報を追加することでこれを単純化することを知っているので、サーバー側でルックアップの必要はありません。しかし、私はこれらのトークンを無効にする方法を読んだのは、セキュリティ侵害の場合や単純にユーザーが削除されたためにブラックリストを実行して対抗させることです。これは実際にセッションを使用するときにサーバが行うルックアップと同様の実装を実際に行わないでしょうか?
ありがとうございました。あなたの「ログインデータベース」以外のログインプロバイダを受け入れるためのアプリケーションが用意
を作ることができSAML2など、OAuthの2のようないくつかの標準のSSOソリューションを使用することにより