为使用电子邮件和facebook_id的Web和移动设备创建用户创建/身份验证系统
tim*_*one 16 authentication facebook ios
我正在使用Ruby on Rails为iOS应用程序和Web应用程序(即可以从移动应用程序或Web前端创建用户)编写用户创建系统.我对使用像Devise这样的系统不感兴趣.
我在几年内没有这样做,所以只是想确保我的想法是最新的并且有意义.
步骤/假设
- 我们将通过自定义HTTP字段(例如"X-auth_token")管理服务器和客户端之间的状态.
- 它们可以通过电子邮件/密码凭证或Facebook创建.
在电子邮件登录的情况下,用户将发布以下json:
{
user:{
email:'joe@test.com',
password:'testpassword',
}
}
我将使用Rails has_secure_password来散列值.
并将返回
{
user:{
id:23,
auth_token:'md5value',
}
}
对于web,我们将auth_token作为cookie值传递.对于iOS应用程序,auth_token将作为自定义HTTP标头字段传递,例如"X-auth_token"
- 在Facebook登录的情况下,他们将使用FacebookSDK,从FB获得范围的权限,并发布
{
user: {
is_facebook_login: true,
fb_email: 'joe@test.com',
fb_auth_token: 'abigvaluefromFB'
}
}
在服务器上,我们将通过调用facebook来确保他们传递有效的fb_auth_token凭据
def self.verify_facebook fb_auth_token
result = Net::HTTP.get(URI.parse("https://graph.facebook.com/me?access_token=#{fb_auth_token}"))
obj=JSON.parse(result)
obj["email"]
end
并验证初始请求中发送的fb_email是否与Facebook提供的电子邮件相对应.
这是带有相应图表的步骤:
脚步
- oauth请求到facebook,仅请求发送电子邮件
- 用户批准,电子邮件和身份验证令牌返回
- 将auth_token发送到我们的服务器; 如果facebook认证客户端,设置标志,以便只能通过Facebook登录
- 与facebook验证令牌是否准确
现在不担心,如果他们改变他们的Facebook电子邮件,运气不好.如果他们通过Facebook登录然后想通过电子邮件/密码登录,那就太难了.
在我们的最后,我们将生成一个auth_token(一个MD5字符串),并将其发送回现在管理身份验证的客户端.从那时起,我们将发送自定义HTTP标头X-auth_token
我们会回复
{
user:{
id:23,
auth_token:'md5value',
}
}
iOS应用程序将通过https://github.com/kishikawakatsumi/KeychainAccess将auth_token写入钥匙串
上述场景对于用户创建是否合理?
您描述的所有想法对我都有效,但整个描述看起来不完整.
缺少的部分是:
- 您如何存储和识别用户?
- 你如何存储身份验证令牌?
- 一个用户可以拥有多个令牌吗?
- 你想要过期的旧令牌吗?
您已经有两个流程的描述 - 通过电子邮件进行新用户注册以及通过Facebook进行新用户注册.
在服务器上我会像这样存储它们,users表:
- ID - 应用程序数据库中的整数,唯一用户ID
- 电子邮件 - 字符串,可选(Facebook可以不存在),跨表独特
- facebook_id - 字符串,可选(对于通过电子邮件注册的用户将不存在),在表格中是唯一的
- 密码 - 字符串,可选(没有Facebook用户的密码)
我也会在这样的场景中合并email/facebook用户:
- 用户通过电子邮件注册,我们有ID和电子邮件
- 用户使用Facebook注册/登录并提供电子邮件
- 我们检查具有此类电子邮件的用户是否已存在并为其设置facebook_id
- 现在,用户可以使用Facebook或电子邮件登录
如果用户更改了他的Facebook电子邮件 - 这不会破坏任何内容,我们可以忽略此更改,如果我们已经在users表中有电子邮件.因此,用户仍然可以使用他的旧电子邮件登录.(或者,使用其他登录历史记录,我们可以检查用户是否从未使用电子邮件登录并将其替换为新电子邮件).
generate password为Facebook用户提供功能也很容易.他们可以在登录时输入电子邮件并生成密码,这样他们以后也可以使用电子邮件/密码登录.
您还可以添加forgot password可以生成新密码并将其发送到用户电子邮件的功能 - email用户和facebook提供该电子邮件的用户都可以使用该功能.
如果我的想法正确,您希望有一个统一的方法来创建新用户和验证现有用户,如下所示:
- 用户输入和应用程序向后端发送电子邮件和密码
- 检查是否存在此类电子邮件的用户
- 用户存在 - 验证密码
- 通过 - 发送访问令牌
- 失败 - 发送错误
- 用户不存在 - 创建新用户和令牌
- 发送访问令牌
对于facebook来说类似,但是我们检查facebook_id而不是电子邮件/密码,并通过对facebook的请求进行验证.
您还可以考虑使用单独的后端端点 - 一个用于注册新用户,另一个用于登录现有用户.因为通过上述过程,如果用户错误输入了他的电子邮件,您将创建一个不期望的新用户.对于Facebook注册/登录可能没有太大的区别.
我假设允许一个用户有多个auth令牌从不同位置登录是有用的,所以这是tokens表:
- ID - 整数,唯一ID,主键
- token - 字符串,唯一访问令牌(您可以考虑将其作为主键)
- user_id - 整数,对用户的引用,谁拥有该令牌
- created_at - 日期时间,创建日期
- expired - boolean,可用于实现令牌过期
常规请求如下所示:
- 有一个X-auth_token的请求
- 在数据库中查找令牌
- 找到合适的用户
- 允许用户访问其资源
令牌过期可以这样完成:
- 有一个X-auth_token的请求
- 在数据库中查找令牌
- 检查是否
now() - token.created_at > EXPIRATION_PERIOD- 将令牌标记为已过期(
token.expired= True + save) - 返回错误"Token expired"
- 在下一个请求 - 返回相同的错误,应用程序应该要求用户再次登录
- 将令牌标记为已过期(