ウェブ開発者の質問ですが、認証のためのこの設計アプローチは合理的ですか?reaonableは、Webローカルデータベースのユーザーのパスワードを保存しませんか?
私はウェブを作成し、私は自分のデータベースにユーザープロファイル用のパスワードを保存しません。私は認証トークンを介してグーグルやフェイスブックのログインを許可して、私のウェブでユーザー権限とログインチェックを割り当てます。
私は誰も持っていないので、私のウェブはパスワードを盗まれることはありません。明らかに私はGoogleやFacebookのログインシステムを信頼する必要がありますが、私は自分のシステムより自分のシステムを保護していると確信しています。
提案やコメントはありますか?
はい、あなたが管理するデータベースにパスワードを保存することはOKです。あなたがこの方法で従うことを決めるならば、それらが平文で保存されていないことに注意してください。また、第三者認証を使用すると、プロトタイピングを高速化できます。ローカルにパスワードを保存する
について知っておくべきいくつかの興味深い瞬間を持っている通常のデータベースにのみパスワードのハッシュを格納し、そうであっても誰かがハッシュを盗まれた、彼らはまだ、実際のパスワードがわかりません。 Password verificationは、パスワードのハッシュを計算し、それをdbに格納されている値と比較します。
もう1つはhashes are saltedです。これらはわずかに変更されているため、攻撃者は既存のハッシュ関数に対して事前計算テーブルを使用することはできません。ローカルにパスワードを保存する
を流れ、あなたはパスワード変更のためのコードを実装する必要があります、「パスワード忘れ」などではなく、アプリケーションコードに焦点を当てました。
多くの場合、主要なサイトで複数のオプションが許可されています(例:facebook/googleまたは自分のメール+パスワードで登録できます)。
一部のドメインでは、Facebookの認証を使用していません(たとえば、私が知っているセキュリティ関連のほとんどのユーザーはFacebookアカウントを持っていない)。
この方法がサイトで有効な場合は、完全にあなたの呼び出しです。あなたが現在使用しているサイトでは、 –