マルチプロバイダ認証の基本用語

Question

ライブラリOmniAuthが最初にそうしていることを理解しようとしています。まず、「マルチプロバイダ認証」を正しく理解しているかどうかを確認します。これは、あなたのアプリがユーザーとしてあなたを認証するために、Facebookのどちらか、またはGoogleをさまざまな種類のプロバイダとして使用できることを意味しますか？したがって、あなたのFacebookのID/PWまたはあなたのGoogleのID/PWを提供することによって、あなたのアプリにログインすることができます両方のあなたのアプリの下で同じアカウントに連れて行く？

Answer 1

私はそれがちょっと遅いと知っていますが、はい、あなたは正しいです。 OmniAuthは、他の認証プロバイダを利用してユーザーが登録して認証するための、より多くのオプションを提供するためのものです。単純な状況では、プロセスは次のように記述できます。

1. プロバイダサイトでアプリを登録します。彼らはあなたが誰であるかを知っています。通常はリダイレクトURLが必要になります。リダイレクトURLは、後で認証応答を送信する場所です。
2. あなたはapp_idとapp_secretを取得します。
3. 「サインインして...」をクリックすると、認証URLに移動します（このリンクには、あなたのapp_idとリダイレクトURLがパラメタとして表示されることがよくあります）。
4. このアプリには許可されていますこれらの事。プロバイダが認証コードを送り返します。
5. アプリは自信を持ってプロバイダと話をすることができます。ちょっとプロバイダ、私はこのアプリ（ショーapp_idとapp_secret）であり、このユーザーは私（認証コードを表示）を許可しています。プロバイダは成功認証データ（トークン、uidなどの情報を含む）を返します。
6. サーバー側のフローでは、uidをチェックして、システム内のすべてのユーザーと一致するかどうかを確認できます。 userにリンクしているauth_providersの表）。そうであれば、そのユーザーにサインインします（サインアップしていない場合）。

ほとんどの場合、ユーザーは1つの認証プロバイダ（FacebookやGoogleなど）のみを使用したいと考えています。両方を使用すると、2つの別々のアカウントが作成されます。もちろん、authデータからのメール返信がすでに使用されているかどうかを検出するなどの方法を見つけることはできますが、信頼できないのは、ユーザーがGoogleとFacebookの両方に同じメールを登録した場合のみです。ユーザーが同時に複数のプロバイダにサインインできるようにする場合は、それらを重複排除するソリューションを見つけることはあなた次第です。