我的应用程序提供两种类型的身份验证 - 通常的电子邮件/密码或使用 facebook 帐户。使用 FB 的身份验证由属于用户的单独模型“身份验证”处理。因此,当当前也通过 facebook 使用电子邮件用户日志登录时,这只是让他能够使用基于 FB API 的功能。但是,如果他没有帐户并尝试使用 FB 进行身份验证,就会出现问题。我绝对不想强迫他完成注册,因为我在这个 FB 交互中看不到任何意义,而且所有功能都可以通过 FB 插件设置。所以我有两种解决方法。首先,通过 FB 身份验证创建用户,跳过用户模型验证,只需将电子邮件和密码字段留空。第一个问题 - 它会导致一些非常糟糕的安全漏洞吗?第二种方式 - 从 FB api 获取他的电子邮件并自动生成密码。我想选择第一种方法,但潜在的安全问题确实让我很担心。你有什么建议?
问问题
53 次