PS: Будет полезно, если будут прямые ссылки на техническую документацию или описание данной возможности авторизации к вашим ответам/комментариям.
Сильно умно не пишите, не силен я в web разработке и всяких там систем авторизаций. Мне бы как-нибудь по-простому 🙂
Очередной раз заранее вас благодарю за ваши ответы.
- веб-программирование
- авторизация
- vkontakte-api
- facebook-api
Отслеживать
5,416 1 1 золотой знак 23 23 серебряных знака 39 39 бронзовых знаков
задан 10 янв 2013 в 16:17
pincher1519 pincher1519
2,528 3 3 золотых знака 34 34 серебряных знака 56 56 бронзовых знаков
10 янв 2013 в 19:03
2 ответа 2
Сортировка: Сброс на вариант по умолчанию
По-простому: форум доверяет ВКонтакту (кто же не знает ВК!). Приходит на форум юзер, говорит, «Я Вася из ВК», форум сам напрямую бежит к ВК и уточняет, «ВК, это точно Вася?», ВК подтверждает, «да, это Вася из ВК».
При этом про Васю ВК лишней инф-ии не раскрывает. Даже email не даёт — только имя-фамилию, id и ссылку на картинку с физиономией. Другие соц. сети, или, например, Google, светят email человека.
Авторизация через социальные сети: ВКонтакте
В таком варианте злоупотреблений быть не может.
Чтобы форум мог нагадить человеку, нужно дополнительно запросить каких-то прав, разрешений, установить приложение и т.п. ВК не дурак, и об этом подробно напишет: «Приложение такое-то запрашивает доступ к вашим ключам от квартиры и кошельку — дать?». От дурака особо не защитить, конечно, но если люди голову не выключали, то злоупотреблений не произойдёт.
Источник: ru.stackoverflow.com
Вместо полноценной регистрации — только авторизация через VK. Безопасно?
Делаю проект, полностью ориентированный на VK. Соответственно, думаю реализовать только стандартную авторизацию с помощью VK. С другой стороны, это платный сервис, поэтому важна защищенность. Поэтому хочу дополнительно для каждого пользователя прикреплять e-mail адрес и верифицировать его.
В итоге человек будет просто нажимать «Войти через ВКонтакте»; почта же останется для экстренных случаев — например, бана или взлома аккаунта. Логин-пароль использоваться не будет. Чем плох данный вариант? Какие могут быть подводные камни?
- Вопрос задан более трёх лет назад
- 4438 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 6
Сообщество или личная страница ВКОНТАКТЕ / Евгений Карасев
Троллей не кормить!
смотря от чего. если от хищения миллиона долларов со счета вбитой кредитки на сервисе или кражи государственных секретов на ресурсе .. то не спасет. слишком уж просто в последнее время получить подтверждение по смс на левый сотовый телефон . ну и от кражи ню фоток из скрытого альбома если ты кинозвезда с массой поклонников. для остальных ты Неуловимым Джо становишься =).
Ответ написан более трёх лет назад
Комментировать
Нравится 4 Комментировать
Чем плох данный вариант?
Пользователь может не иметь аккаунта в VK по разным причинам, либо не желать связывать свой профиль со сторонним сервисом из соображений конфиденциальности. Ну и конечно зависимость от VK — проблемы на их стороне означают проблемы и на вашей.
Ответ написан более трёх лет назад
Нравится 2 1 комментарий
Если только этим, то не проблема — сервис полностью ориентирован на ВК.
Если пользователя забанят вконтакте (что бывает часто) — к вам войти он уже не сможет, восстановить у вас свои данные тоже.
Ответ написан более трёх лет назад
Нравится 2 5 комментариев
Меня ни разу не банили в соц. сетях? Что я делаю не так?
Тех кого банят, надо банить по всем ресурсам где возможно.
Иван: знакомый поймал троян(ввел пароль где-то или любой другой способ угнать аккаунт), аккаунт ушел кому-то, а он на следующий день уехал на юга и оставил свой телефон в России. Пару дней у него на стене красовалась реклама по увеличению разных мест и в результате его аккаунт улетел в бан. Через неделю он решил связаться с друзьями, а аккаунт в бане.
Восстановить никак т.к телефон в другой стране. Если бы он пользовался сервисом, завязанным на вк, то он бы еще на 2 недели остался без него и за это время найти альтернативу без привязки. По приезду в РФ он запросил восстановление аккаунта, не скажу подробностей, но для этого юзверя это заняло 4 дня. Можно как потерять клиента/юзера так и оставить человека без чего-либо важного.
P.S у человека 3 сим карты: личная, рабочая и для соц сетей и прочего интернета.
LazyFire: Хоть 10 симок, какая разница? У меня одна уже более 10 лет.
Иван: Тебе просто повезло. Забанили на неделе, за то что состоял в группе которая кидала спам. Называлась Nokia n-1. Сори за оффтоп. А так к делу 100% защиты нет, но в плане защиты достаточно.
Источник: qna.habr.com
Как это работает: вход на сайты через соцсети
Часто на сайтах вам могут предложить войти с помощью Google, Facebook или ВКонтакте. Если у вас есть аккаунт в одном из этих сервисов, вам не нужно будет регистрироваться с нуля: заполнять имя, почту и ставить свою фотографию — всё это будет сделано автоматически. Разберёмся, как это работает и насколько это безопасно.
Это история о технологии OAuth2.
В Яндекс можно войти через Гугл. Как тебе такое, юзернейм?
Для чего это нужно
Каждый сайт заинтересован в новых посетителях, потому что им можно потом продать платную подписку или показать рекламу. Поэтому сайтам выгодно, чтобы регистрация была как можно проще, в идеале — по нажатию одной кнопки (а то и вообще без регистрации). Если пользователи должны регистрироваться вручную и вводить все свои данные, есть шанс, что они отвалятся.
Параллельно с этим в интернете есть сервисы, которыми пользуются все: Яндекс, Гугл, фейсбук или Вконтакте. Почему бы не брать данные о пользователе с этих сервисов?
Для этого и придумали OAuth.
OAuth — это как договор между сайтами
Яндекс, Гугл или любой другой сервис, который разрешает пользоваться своим пропуском, должны принять единый протокол обмена данных. Если по-простому, то они должны договориться:
«Мы даём друг другу данные вот в таком формате, мы принимаем их в этом формате, мы друг другу доверяем».
Эти договорённости закрепили в едином стандарте авторизации — OAuth. В нём написано, как выдавать пропуска, как их проверять и что делать в разных случаях.
Как работает единая авторизация
Для пользователя всё выглядит просто: нажал «Войти через Яндекс», подтвердил Яндексу своё желание войти на нужный сайт, и всё — вы уже зарегистрировались на новом сайте и можете им пользоваться. Но что происходит под капотом?
Когда посетитель, например, сайта о программировании, нажимает «Войти через Яндекс», этот сайт отправляет в Яндекс запрос и говорит: «Тут кто-то хочет войти на мой сайт через ваш сервис, можете разобраться?»:
Когда Яндекс получает такой запрос, ему нужно понять, что за посетитель пришёл на сайт и есть ли у него аккаунт Яндекса. Для этого он показывает всплывающее окно, где посетитель может войти в свой Яндекс-аккаунт. Это нужно, чтобы сервис понимал, на чьё имя выдавать пропуск для сайта. Если пользователь уже залогинен в Яндексе, его сразу узнают.
Как только посетитель вводит свой логин и пароль, Яндекс узнаёт его и спрашивает, доверяет ли он этому сайту о программировании и может ли Яндекс поделиться с сайтом данными о его имени и почте:
Дальше Яндекс отдаёт ваши данные сайту, он вас узнаёт, и готово:
Насколько это безопасно
Каждый сайт, который использует OAuth, сам определяет, какие данные о пользователе они хотят увидеть. Например, одному сайту достаточно знать ваше имя и почту, а другому хочется скачать вашу фотографию и узнать дату рождения.
Когда вы будете входить через OAuth, сервис вам скажет: «Вот какие данные у меня запрашивают. Давать доступ?». Когда вы разрешите доступ, эти данные перейдут на сайт. Откажетесь — не перейдут.
✅ Сайты, которые используют OAuth, не смогут прочитать вашу почту или личные сообщения. Но есть и другие технологии — например приложения в социальных сетях, — и уже они могут делать гораздо больше.
✅ Через OAuth нельзя отправить сообщения от вашего имени или сделать пост в вашей ленте новостей. Но, опять же, если это не OAuth, а отдельное приложение для фейсбука или VK, то возможно и такое. Помните все эти игры, которые постят от имени игроков «Я собрал капусту на своей ферме»? Вот это они.
✅ Через OAuth точно не передаётся ваш пароль от Яндекса, Гугла и других сервисов. Сервисы хранят пароли в зашифрованном виде, поэтому даже при всём желании не смогли бы его передать.
Можно ли этому доверять?
Скорее нет, чем да. С OAuth есть проблема: вы никогда не знаете, действительно ли это OAuth или это хакеры сделали штуку, похожую на OAuth, которая хочет украсть ваш пароль. На всякий случай вот техника безопасности:
⚠️ Во всех важных сервисах включайте двухфакторную авторизацию: чтобы не только вводить пароль, но и получать СМС.
⚠️ Если сервис поддерживает приложение-аутентификатор — используйте его. Например, в Яндексе есть «Ключ», а в Гугле — Authenticator. Это специальные приложения, которые создают дополнительный слой защиты поверх вашего логина и пароля.
⚠️ Если вы только что пользовались сервисами Яндекса или Гугла и тут вас просят вновь ввести логин и пароль — закройте эту страницу. Яндекс и Гугл помнят вас и не попросят пароль лишний раз.
Источник: dzen.ru