我有一个现有的注册/登录系统:用户输入电子邮件和密码。密码经过哈希处理。我将它存储在数据库中。
当用户登录时,他们会填写完整的电子邮件和密码。密码经过哈希处理,我在数据库中查找电子邮件并检查电子邮件是否匹配。如果是,则他们已登录。
我想添加一个系统让用户使用 3rd 方 OAuth 登录,例如 GitHub。我有那个设置,但我不确定要在我的数据库中存储哪些数据。
我在想我将他们的 GitHub 电子邮件作为电子邮件,然后使用他们 GitHub 的访问令牌作为密码(所以我会对其进行哈希处理并存储它。)
我认为这可行,但我担心访问令牌可能会改变,这意味着它们将被锁定在他们的帐户之外。
如果我不应该使用访问令牌作为密码,我应该使用什么?我需要将用户的电子邮件存储在我的数据库中,但目前需要密码,如果他们使用 GitHub 登录,我无法获得密码。
(请注意,当用户登录时,我会调用我的后端来生成一个访问令牌 (JWT),我可以使用它来要求他们的用户详细信息,然后将其存储在本地存储中。我希望然后能够做同样的事情与 GitHub 或其他什么有关。)
oAuth通常用于授权。这意味着,您从授权服务器获得访问令牌,资源服务器对其进行验证并让用户访问数据。
在您的情况下,您“并不真正需要”访问令牌 - 您只想使用 oAuth 进行身份验证。Web 应用程序(如 StackOverflow)这样做是为了“省去处理身份验证流程的麻烦”。这意味着,如果我编写一个安全的应用程序,我需要以某种方式实现创建帐户流程、登录流程、忘记密码等。当您使用 3rd-party 身份验证时,您可以省去这个麻烦。
但是,您的应用程序确实需要一些用户 ID 来执行操作;因此,当用户第一次出现时,您必须在您的应用程序中创建一个用户 ID。从那时起,您无需担心密码过期、忘记密码甚至无法登录。当用户登录时,您将获得访问令牌,您需要做的就是从中获取您的应用程序的用户 ID。
因此,我看不出您需要存储“密码”或访问令牌的原因。
希望这是有道理的。
您正在寻找的实际上是 OpenID Connect - 它是一个构建在 OAuth 之上的身份验证框架,它允许您使用外部身份提供程序(如 Github)登录用户。
当用户使用 GitHub 登录时,您将收到一个签名 JWT 形式的 id_token。您可以轻松验证 JWT 的真实性——因此您可以轻松确保 id 令牌确实来自 Github 并呈现真实数据。通常 id 令牌中的信息之一将是用户的电子邮件。您可以使用它在数据库中查找用户。在这种情况下,您不需要任何密码。
因此,您将有两种在数据库中查找用户的方法 - 通过比较电子邮件和密码,或者通过从 Github 验证的 id 令牌查找用户的电子邮件。