1

我正在考虑将 Facebook 登录用于包含一些“类似银行”的信息(例如查看帐户余额)的大型网站。当前登录是用户名/密码系统,否则我不知道当前采取的安全措施。

有哪些陷阱?目前,我正在考虑授权和正常运行时间的安全性。

Facebook 的 OAuth 2.0 是否足够安全?刚刚读到 OAuth 2.0 的主要作者离开了工作组(参见:http ://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/ ),因为它“未能实现其两个主要目标——安全性和互操作性”。

4

1 回答 1

0

这在 Security.StackExchange.com 但是会更好。

在我看来,它不够安全。我意识到有潜在的好处,并且我意识到 OpenId、OAuth 和其他类似机制等系统的价值,但将银行信息置于其背后,我不这么认为。

在我的脑海中,这是我最犹豫的两个原因:

  1. 由于 OAuth 用于如此多的网站,它可能对坏人更有吸引力。
  2. 你相信别人的系统。如果 Facebook 遭到入侵,您的网站也会突然遭到入侵。
    • 虽然 OAuth 可能比您自己制作的任何东西都要好,但它也受到您无法监控活动/无效登录等事实的影响。审核此类事情是确保您的网站安全的主要部分。

Jeff Atwood 在这篇优秀的博客文章中列出了 OpenId 的优点以及几个问题(类似)。

于 2012-08-15T13:12:47.993 回答