自定义 OAuth 与第 3 方

Posted 2023-03-08

【中文标题】自定义 OAuth 与第 3 方

【英文标题】：Custom OAuth vs 3rd-party

【发布时间】：2015-03-15 06:52:36

【问题描述】：

这可能更像是一个行业问题，而不是一个具体的技术问题，但答案必须考虑技术可行性。我试图使问题尽可能尖锐。我正在开发一个新的 Web 应用程序，它必须保护社会安全号码、银行账户交易等。安全性是必不可少的，安全性的外观也是如此。然而，我工作的公司很小。依赖第三方发行商（例如，谷歌、Facebook、Twitter、雅虎）是否有意义，这些发行商当然很受欢迎，但由于社交媒体并不能传达银行业的严肃性吗？或者我真的可以期望像这些第三方一样安全地实施 OAuth/Owin/Katana？是否有另一种既可靠又受欢迎的选择，不受社交媒体的驱动？还是自己实施安全性最有意义？我没有深厚的安全背景，但如果表单身份验证最适合我的情况，我愿意学习它。

【参考方案1】：

您的问题不够具体，无法为您提供具体建议。但是创建自己的安全性绝不是一个好主意。

您是否应该使用社交媒体身份提供商取决于您需要确定用户身份的程度。如果用户必须自己输入所有这些信息，那么您只需要确保只有该帐户有权访问。在这种情况下，社交媒体帐户可以正常工作。您不能确定用户就是他所说的那个人，但这并不重要，因为他只能看到他自己输入的信息。

但是，如果此 SSO 和银行交易信息来自其他来源，您将需要一个身份提供商，为您提供更多关于用户身份的保证（例如银行的登录服务器）