这可能更像是一个行业问题而不是具体的技术问题,但答案必须考虑技术可行性。我试图尽可能地提出问题。我正在开发一个新的Web应用程序,它必须保护社会安全号码,银行帐户交易等。安全性至关重要,安全性也是如此。然而,我工作的公司规模很小。依赖第三方发行人(例如谷歌,Facebook,Twitter,雅虎)是否有意义,这些发行人肯定很受欢迎,但社交媒体并没有传达银行业的严肃性?或者,我是否可以真实地期望像第三方一样安全地实施OAuth / Owin / Katana?还有其他选择既可靠又受欢迎,而不受社交媒体的推动?或者自己实施安全性最有意义吗?我没有沉重的安全背景,但如果表单身份验证对我的情况最有意义,我愿意学习它。
答案 0 :(得分:0)
你的问题不够具体,无法给你具体的建议。但创建自己的安全性绝不是一个好主意。
您是否应该使用社交媒体身份提供商取决于您需要确定用户身份的数量。如果用户必须自己输入所有信息,那么您只需要确保只有该帐户可以访问。在这种情况下,社交媒体帐户将正常运行。你不能确定用户是他所说的那个人,但这并不重要,因为他只能看到他自己输入的信息。
但是,如果此SSO和银行交易信息来自其他来源,则您需要一个身份提供商,以便为您提供有关用户身份的更多保证(例如银行的登录服务器) )