我的应用程序提供两种类型的身份验证 - 通常的电子邮件/密码或Facebook帐户。 使用FB进行身份验证由单独的模型“身份验证”进行处理,该身份验证属于用户。 因此,当前通过Facebook登录电子邮件用户日志时,这使他能够使用基于FB API的功能。 但如果他没有帐户并尝试使用FB进行身份验证,则会导致问题。我绝对不想强迫他完成注册,因为我没有在这个FB交互中看到一点,并且所有功能都可以通过FB插件设置。 所以我有两种解决方法。首先,通过FB身份验证创建用户,跳过用户模型验证,并将电子邮件和密码字段留空。第一个问题 - 它是否会导致一些非常糟糕的安全漏洞? 第二种方式 - 从FB api接收他的电子邮件并自动生成密码。 我想选择第一种方法,但潜在的安全性问题确实让我感到担忧。 你有什么建议吗?
答案 0 :(得分:0)
我认为你不会有安全漏洞,因为在论文中,你已经完成了在你的模型中关闭它们所需要的所有东西。
我认为您应该关注您的数据库完整性以及您将来可能创建的其他帮助程序,这些帮助程序可能会推断出该电子邮件或fb未提供的任何信息。
我想你可以让fb让他们从auth cookie中读取数据并让你的数据库完全填满。