我正在设计一个通过注册表单接受新用户或使用facebook登录的应用程序。
当用户注册时,我会创建一个用户记录并将加密的密码(哈希)存储在USER表中。如果用户通过FB注册,我仍然想要创建用户记录。
但是我应该如何处理密码列,因为我不会暴露他们的FB密码。或者我应该从USER表中分离userid / login / password并将其保存在单独的表中,并且FB用户将不会在此新表中有记录。
答案 0 :(得分:2)
其中任何一个都可以正常工作 - 您可能只想在您的User表中保留此用户更喜欢的身份验证提供程序的记录,并将其用作登录方式的指南。
将登录详细信息与用户帐户分开存储是有好处的,但无论如何它们都将密切相关,并且在许多情况下使用用户帐户详细信息存储登录没有任何害处。保持单独的登录记录可以更容易地记录用户登录时和使用哪些凭据,当他们尝试将密码更改为他们过去使用的密码时捕获等等,但是您是否需要该级别的审核您的申请完全取决于您。
在用户表中本身没有空白密码,只要您可以确保没有人可以尝试强制系统使用您的标准日志记录经过Facebook身份验证的用户的路由-in过程。指示用户偏好和确保对空密码的任何登录尝试自动失败的登录类型应该足以避免这是一个问题。