¿Debo habilitar el inicio de sesión de Google Auth de forma predeterminada para mis usuarios?

Navega tus respuestas
5

He implementado el inicio de sesión de Google (OAuth2) en mi sitio web. Coincide con los usuarios por correo electrónico, es decir, si su correo electrónico es el mismo en Google que en nuestro sistema, y tiene habilitada la autenticación de Google en mi sitio web, ha iniciado sesión.

¿Debo habilitarlo para todos de forma predeterminada ? Quiero hacerlo asumiendo que alguien controla la cuenta de Google, ellos controlan la cuenta de correo electrónico asociada y, por lo tanto, ya tienen acceso a la cuenta de usuario en mi sitio web (ya que implemento el restablecimiento de contraseña por correo electrónico).

¿Debo tener en cuenta alguna implicación de seguridad?

    
pregunta hmp 16.12.2015 - 17:34
fuente

1 respuesta

2

oAuth no es un mecanismo de autenticación . Maneja la autorización para acceder a los recursos (generalmente una API).

De RFC 6749 :

  

El marco de autorización OAuth 2.0 permite a un tercero   aplicación para obtener acceso limitado a un servicio HTTP, ya sea en   nombre de un propietario de recursos mediante la organización de una interacción de aprobación   entre el propietario del recurso y el servicio HTTP, o permitiendo que el   Aplicación de terceros para obtener acceso en su propio nombre.

Sin embargo, también es utilizado por algunos como una forma de autenticar a los usuarios. Debes confiar en ese servicio porque tiene las claves para tus recursos (en lugar de permitirte acceder a sus recursos, con el acuerdo de sus usuario - que es para lo que oAuth es)

Wikipedia señala las diferencias entre oAuth y OpenID (que es un protocolo de autenticación).

    
respondido por el WoJ 17.12.2015 - 11:29
fuente

Lea otras preguntas en las etiquetas

¿Cómo implementar una política de cambio de contraseña cuando la contraseña centralizada del usuario está en muchos lugares? ¿Está bien colocar .htpasswd en el directorio protegido si solo hay un usuario?