Zwykłe logowanie + Oauth |
Zwykłe logowanie + Oauth |
9.02.2023, 13:47:11
Post
#1
|
|
Grupa: Zarejestrowani Postów: 95 Pomógł: 0 Dołączył: 16.08.2017 Ostrzeżenie: (0%) |
Mam system logowania do aplikacji PHP oparty o adres e-mail i hasło. Chciałem umożliwić logowanie za pomocą konta Microsoft i w tym celu napisałem skrypt, który po zalogowaniu kontem Microsoft generuje token, z którego robię json_decode i wyodrębniam adres e-mail i na tej zasadzie oparłem warunek czy ktoś może wejść do aplikacji. Proszę o sugestie czy moje założenie jest sensowne, jeżeli nie to proszę o informacje jak powinno być to wszystko zrobione aby było przede wszystkim bezpieczne i logiczne.
Przesyłam fragment kodu aby lepiej zobrazować o co dokładanie mi chodzi.
|
|
|
16.04.2023, 11:14:26
Post
#2
|
|
Grupa: Zarejestrowani Postów: 7 Pomógł: 1 Dołączył: 22.02.2022 Ostrzeżenie: (10%) |
Jeśli na koncie Microsoft nie da się ustawić od tak byle jakiego maila (i trzeba potwierdzić posiadanie do niego dostępu), to jest to raczej bezpieczne.
Bo jeśli by się dało ustawić byle jaki, to wówczas można by było zalogować się u ciebie na każde konto, znając tylko maila i sobie zmieniając je w ustawieniach konta Microsoft. Tylko taka uwaga. Jeśli zwracany jest id użytkownika z Microsoftu to jednak lepiej sobie zapisać podczas rejestrowania w swoim systemie ten ich id. Jak ktoś zmieni sobie tam maila na nowy, to nadal bez problemu się u ciebie zaloguje, bo będziesz sprawdzać czy takie id microsoftu masz zapisane wśród swoich userów, a nie na podstawie maila, który zwrócony przez microsoft może być inny niż ten, który kiedyś zarejestrowałeś. Takie id użytkownika na pewno zwraca Google, Facebook i Twitter więc pewnie Microsoft ma coś podobnego. Ten post edytował Robertus 16.04.2023, 11:15:42 |
|
|
Wersja Lo-Fi | Aktualny czas: 3.06.2024 - 21:55 |