Si mis usuarios usan Google OAuth para la autenticación, ¿puedo permitir que aplicaciones de terceros lean datos en mi sitio?

Navega tus respuestas
2

Supongamos que dirijo un club de libros y cada uno de los miembros inicia sesión en mi sitio web con un token OAuth de Google, Twitter, Live o LinkedIn.

Cuando el club de lectura se vuelve popular, descubrimos que las aplicaciones de terceros quieren leer datos de nuestra base de datos. Almacenamos cosas como: la lista de libros que cada persona ha leído, la cola y lo que pensaron de cada libro. Los terceros (Amazon, Barnes and Noble, etc.) quieren leer esos datos, en el contexto del usuario que ha iniciado sesión.

Pregunta

  • ¿Cómo debo diseñar el esquema de inicio de sesión de OAuth para mi sitio web?
  • ¿Puedo confiar en terceros? (Google, Twitter, ¿alguien más?)

  • Una vez que haya iniciado sesión, ¿cómo puedo compartir un subconjunto de mis datos con aplicaciones de terceros?

  • ¿La única manera de lograr esto es si IDP (Google o Yahoo) agrega soporte para esto (por ejemplo, en OAuth 3)?

pregunta random65537 31.08.2013 - 17:31
fuente

1 respuesta

1

Confía en los proveedores de OAuth para que los usuarios compartan su identidad con usted. Si desea que las aplicaciones lean la información de los usuarios de su base de datos, efectivamente debe convertirse en un proveedor de OAuth . Sus aplicaciones solo deben tratar con usted y sus identidades de usuario, no con proveedores externos que utiliza su club de lectura.

Cómo se vería esto si un usuario se registra y quiere usar una aplicación:

  • el usuario hace clic en iniciar sesión con Twitter
  • Twitter le pregunta al usuario si está bien proporcionarle información a su club de libros
  • tienes el enlace a Twitter y puedes crear una cuenta, leer los tweets, lo que sea
  • su usuario desea instalar una aplicación en el club de libros
  • van a la aplicación, la aplicación invoca el mismo proceso que hiciste con Twitter, pero con tu club de libros
  • Book club pregunta al usuario si está bien proporcionar una aplicación con información
  • el usuario acepta y la aplicación tiene la información de usuario y el token de acceso de tu club de libros

¿Qué sucede si la aplicación desea habilitar el inicio de sesión de terceros a través de su club de libros? Bueno, el usuario tiene que hacer clic en "iniciar sesión con el club de lectura". Si no han iniciado sesión, ¿cómo se registran en el club de lectura? Correcto, al utilizar Twitter, Facebook, etc. Efectivamente, está encadenando diferentes proveedores de autenticación. Pero dos pasos aún deben ser manejables para un usuario.

    
respondido por el webjunkie 22.07.2016 - 11:06
fuente

Lea otras preguntas en las etiquetas

¿Borrar el caché del servidor DNS? ¿Cómo hacer una interfaz segura con un dispositivo USB comprometido?