我正在构建一个Web应用程序,并决定允许用户使用客户端api使用google plus登录。
现在,我想知道这有多安全,因为我必须提供一个回调函数,该函数将在加载按钮后调用。
我想知道用户是否可以编辑此功能并操纵注册后发生的事情。 此外,是否有建议的方法来确保使用此类登录服务时的安全性?
由于
答案 0 :(得分:1)
维护自己的安全登录系统并非易事。当您依靠Google作为您的身份提供商时,您拥有世界上最好的Google工程师,可以保护数以亿计的帐户免受一些拥有巨大资源的最具攻击性,智能和积极性的黑客的攻击。你可以相信他们会比你对抗这些威胁做得更好。
现在,您正好考虑从Google到您的网站的转移,作为需要进行额外检查的潜在点。到您的站点的成功回调应该包括访问令牌(以及混合服务器端流程中的一次性授权代码)。您可以使用该令牌立即执行API请求,以验证令牌是否合法而非伪造。事实上,许多网站立即request for the user's profile data用姓名,图片,电子邮件等填充用户的记录。
如果该令牌导致API拒绝访问,则会出现问题,您不应该信任该回调。
您还可以验证返回的ID令牌。 ID令牌经过加密签名,以确保它们没有被篡改。这是一个更复杂的过程,在您需要从客户端向后端发送令牌时非常有用,这样您的后端就可以验证令牌是来自真实用户还是来自您的特定客户端。请参阅Tim Bray's post on ID tokens for more info。