我正在考虑在我的 MVC 4 应用程序中允许用户通过 OAuth/OpenID 提供程序等使用外部登录是否有意义。
允许外部登录是否会使您的应用程序比使用标准 FormsAuthentication 或其他方式更安全或更不安全?安全性是最重要的,因为某些账户会有现金价值(用户可以将钱存入他们的账户)。
我特别担心安全隐患,但也想知道我需要考虑的任何其他注意事项。
问问题
466 次
1 回答
2
从我的专业经验来看,安全因素不仅仅与所使用的编程语言/技术有关。在您的情况下(MVC 4 和 Microsoft“世界”)已经为您提供了一些选择。但最终“防弹效应”是由“应用程序架构”和开发人员/程序员完成的。
诸如您所指的身份验证提供程序具有许多优点,但同时提供了“知识灰色地带”和“控制权”。“一条链的强度取决于它最薄弱的环节”,这意味着无论您的代码有多好,最终如果您将代码的一个非常重要的部分委托给某个“其他实体”(甚至您不知道他们的代码/数据库/易于破解等有多好,您对此无能为力)。
我不是在这里说 OAuth/OpenID/其他方面的好坏,我只是简单地告诉你最后你应该提出的问题是:“你在你的网站中存储的信息有多安全?”
如果它是一个银行网站,请查看需要信用和验证的安全协议和实体在该领域“工作”的难度和安全性。Visa/万事达卡/其他网络提供商不仅仅是一个简单的“2 个人地下室公司”。背后也有保险公司和大合同试图为双方提供安全保障。
因此,在您的情况下,只有您可以决定在您的网站中存储什么,但您应该提出的另一个问题是:您将所有这些信息存储在哪里?共享主机/您实际无法触及的某些主机公司?备份怎么样?ETC...
如果您谈论的是真钱,则需要考虑很多方面,只有您可以衡量您可以做/负担得起的事情,并希望做出最好的决定,并且永远不会发生坏事:)
祝你好运:)
于 2012-12-12T07:27:07.850 回答