Ayy*_*yli 6 database authentication oauth github-oauth
我有一个现有的注册/登录系统:用户输入电子邮件和密码。密码经过哈希处理。我将其存储在数据库中。
当用户登录时,他们会填写电子邮件和密码。密码经过哈希处理,我在数据库中查找电子邮件并检查电子邮件是否匹配。如果是,则他们已登录。
我想添加一个系统,让用户使用第三方 OAuth 登录,例如 GitHub。我有这样的设置,但我不确定要在数据库中存储哪些数据。
我想我将他们的 GitHub 电子邮件作为电子邮件,然后使用他们的 GitHub 的访问令牌作为密码(所以我会对它进行哈希处理并存储它。)
我认为这会起作用,但我担心访问令牌可能会发生变化,这意味着他们将被锁定在帐户之外。
如果我不应该使用访问令牌作为密码,我应该使用什么?我需要将用户的电子邮件存储在我的数据库中,但目前需要密码,如果他们使用 GitHub 登录,我将无法获得密码。
(请注意,当用户登录时,我调用我的后端来生成一个访问令牌(JWT),我可以使用它来获取他们的用户详细信息,然后将其存储在本地存储中。我希望能够执行相同的操作与 GitHub 或其他什么有关。)
oAuth通常用于授权。这意味着,您从授权服务器获取访问令牌,资源服务器验证它并让用户访问数据。
在您的情况下,您“并不真正需要”访问令牌 - 您只想使用 oAuth 进行身份验证。Web 应用程序(如 StackOverflow)这样做是为了“省去”处理身份验证流程的麻烦。这意味着,如果我编写一个安全的应用程序,我需要以某种方式实现创建帐户流程、登录流程、忘记密码等。当您使用第 3 方身份验证时,您可以省去这个麻烦。
但是,您的应用程序确实需要一些用户 ID 来执行操作;因此,当用户第一次出现时,您必须在应用程序中创建一个用户 ID。从此,您不再需要担心密码过期、忘记密码,甚至无法登录。当用户登录时,您将获得访问令牌,您所需要做的就是从中获取您的应用程序的用户 ID。
因此,我不认为您需要存储“密码”或访问令牌的原因。
希望这是有道理的。
| 归档时间: |
|
| 查看次数: |
3746 次 |
| 最近记录: |