¿Necesito crear un usuario en mi base de datos?

0

Estoy creando una aplicación web, que utiliza un backend WebApi (que requiere usuarios autorizados). El sistema simplemente almacena información del usuario similar a una publicación en Facebook.

  1. El extremo frontal (angular) solo permite la autenticación social / externa.
  2. Mi backend puede usar JWT Middleware para verificar que su JWT es válido para cada solicitud.
  3. Suponga que mis ámbitos están configurados correctamente para obtener siempre el reclamo por correo electrónico.

Entonces, mi pregunta es, ¿¡¿necesito registrar al usuario más ?! Sé que esto suena loco, pero a partir de ahora, ¿no está bien dejar que el usuario cree publicaciones en mi sistema y use su dirección de correo electrónico como UserId? ¿Me estoy perdiendo algo?

    
pregunta Worthy7 28.05.2018 - 03:51
fuente

1 respuesta

1

Esta pregunta podría interpretarse de muchas maneras diferentes:

should my Database use a non-root user

Sí, debe crear un usuario no root (uno para cada aplicación única que acceda a la base de datos para evitar que su usuario de wordpress-db (haga frente a algún exploit de wordpress aleatorio que salga en el futuro) tenga acceso completo a su super-fancy-custom-web-apps-db y obtenga una lista completa de todos los correos electrónicos de sus usuarios que ha estado recopilando.

should I create a user's table in my databse

Autenticación o no ... esto es un poco obvio. Si desea poder vincular [email protected] a su alias preferido super happy fun guy ... o uno de sus usuarios decide que qmail apesta y desea cambiar las cuentas de correo electrónico a [email protected] ... una tabla de usuarios con un UUID interno por usuario puede ser muy útil.

do I need to store user-password-hashes for login

Sí y no ... confiar plenamente en la autenticación de otros sitios web puede evitar que tenga que preocuparse por que su db local sea pirateada y por informar que algunos miles de hash de contraseña de sus usuarios están en libertad. Pero al mismo tiempo, si se encuentra una vulnerabilidad en la autenticación de este tercero, podría muy bien dejarlo en una situación peor, ya que no tiene control sobre el parche del tercero ... y nada de lo que recurrir si este tercero decide cobrar por este servicio de autenticación o simplemente descontinuar todo junto.

Esto es más una decisión de negocios que una decisión de seguridad ... hay muchos pros y contras de ir en cada dirección.

    
respondido por el CaffeineAddiction 28.05.2018 - 05:41
fuente

Lea otras preguntas en las etiquetas