最近在做第三方登陆那块儿,oauth获取token那方面的差不多都完了,观察其他网站的第三方登陆到了最后都是完善用户信息(用户名,邮箱等),想问这样的话数据库用户表里的密码字段怎么办,空着么,虽然虽然编写了一段检查如果密码为空不能登录,,不过还是感觉背后凉飕飕各种不安全啊,大家都是怎么做的
This topic created in 4498 days ago, the information mentioned may be changed or developed.
 |
1
alexapollo Feb 14, 2014
空着啊……第三方需要密码吗?有token就行了不是?
当然如果你有强密码需求,我觉得还是可以做“第三方注册”的流程。 但我总觉得这种流程很奇怪,用户也会觉得这种行为很奇葩。 |
 |
2
Nintendov OP @alexapollo 空着总是有点虚啊,我是刚有去下了个discuz安装了下用了它的qq登陆,在数据库里发现是有密码的,应该是discuz自己做了一个,不想去看discuz坑爹长的源代码了,于是就看看你们是怎么做的,,空着总是怕自己有地方没检测到密码为空让它不能登录。。然后一个用户名就进去了
|
|
3
alexapollo Feb 14, 2014
@Nintendov 不同实现不一样,很多站点都是可以直接用OAuth token登录,无注册流程
|
 |
4
Mihuwa Feb 14, 2014
感觉如果有自己的登录系统,第三方登录不是很必要啊。
|
 |
5
alexrezit Feb 14, 2014
根本不应该保存密码啊... 甚至根本不应该拿到密码才对! 你能拿到的只有 token!
|
Select Language