Si utilizo Facebook o Google como proveedores de autenticación, ¿obtienen acceso a los datos en mi sitio web? ¿Pueden rasparlo con un bot? ¿Puedo evitar que obtengan este acceso?
Vamos a descomprimir esto en las preguntas específicas. Intentaré ser breve en mis respuestas porque el tema general debe darle una idea de la situación ...
¿obtienen acceso a los datos en mi sitio web?
Suponiendo que los datos estén protegidos por controles de acceso, y que no sean públicos, sería una violación de su confianza en el proveedor de autorización de terceros para que puedan acceder directamente a los datos de su sitio. Es poco probable que hagan esto, porque el valor de robar sus datos no valdría la pena dado el valor perdido si pierden su confianza.
Técnicamente hablando, no hay nada en el protocolo OAuth que impida que un proveedor falsifique la identidad de su usuario. Al utilizar un proveedor externo, tanto usted como sus usuarios están depositando su confianza en ellos para no hacer esto.
¿Pueden rasparlo con un bot?
Dado que podrían falsificar a un usuario, presumiblemente podrían obtener acceso a su sitio realizando un saludo de OAuth. Si se autenticó y comprende su esquema de autenticación (es decir, está utilizando una cookie de autenticación, o el bot sabe cómo usar su esquema de token de portador o similar), podrían, en teoría, explorar la parte autenticada de su sitio para eliminarla.
Pero como se mencionó anteriormente, probablemente no lo harían. Nuevamente, este es el riesgo que toma al utilizar un proveedor externo. Necesitas confiar en ellos.
¿Puedo evitar que obtengan este acceso?
En realidad no. Si solo le preocupa el acceso automatizado, podría hacer algo para ocultar la autenticación entre el cliente y el servidor para que un raspador web no sepa cómo usar el token de autenticación. Por ejemplo, puede cambiar el nombre del encabezado. Dicho esto ... esta es probablemente una mala idea. Hay una serie de suposiciones hechas por los servidores web y las herramientas de monitoreo del servidor que ayudarían a evitar la pérdida de encabezados de Autorización, lo que podría no ser cierto para otros encabezados.
Todo dicho y hecho, si va a utilizar un proveedor de autorización de terceros, debe confiar en que tendrán las medidas de seguridad adecuadas para proteger su aplicación contra el uso indebido. Si depositar esta confianza en un tercero no es apropiado para su nivel de aceptación de riesgos, no utilice un proveedor de identidad externo.
Lea otras preguntas en las etiquetas authentication