Все чаще в технических заданиях и на сайтах можно наблюдать возможность войти через ту или иную социальную сеть. Иногда целесообразнее использовать готовый сервис, чем создавать отдельно приложения для каждой социальной сети. Прекрасным, по моему скромному мнению, вариантом является сервис ulogin, он позволяет быстро интегрировать нужное количество социальных сетей, и пока нареканий в работе не вызывал. Но, как оказалось, не все так гладко.
По какому полю вы связываете человека пришедшего через социальную сеть с пользователем зарегистрированным у вас на сайте? Я думаю большинство с первой попытки ухватится за поле которое в 95% является уникальным — Email. uLogin позволяет получить email на который регистрировался аккаунт в социальной сети, и в большинстве случаев пользователь привязывает все аккаунты к одной почте (речь идет о посетителях handmade порталов, разного рода магазинчиков с несколькими тысячами товаров типа детское белье и т.д.). Более того, выделяя среди социальных сетей тройку лидеров приходится сталкиваться с: Вконтакте, Facebook, (Twitter/Google+). И вот тут начинается история.
uLogin — авторизация через соц. сети. (Дмитрий Науменко)
Социальная сеть Вконтакте никогда не отдаст вам email пользователя, также его не вернет и uLogin. Хотя можно указать сбор email принудительно, в этом случае после авторизации через социальную сеть uLogin запросит email пользователя самостоятельно, для того чтобы потому бережно отдать вам JSON с данными которые вы хотели получить от него. Проблема тут состоит в том, что в это поле можно вбить любой валидный email. То есть СОВСЕМ ЛЮБОЙ.
Таким образом, если авторизация через социальную сеть происходит по сути по полю email, некоему Васе для того чтобы войти на сайт под аккаунтом Пети, достаточно авторизоваться через Вконтакте и указать его email, который может не являться тайной и допустим выводиться в профиле.
Защитой от этой логической дыры является схема в рамках которой регистрация возможна только через те социальные сети которые делятся с нами email’ом. Далее личном кабинете пользователю предлагается привязать аккаунт к социальной сети — авторизоваться через тот же uLogin тем самым привязать аккаунт пользователя не по email, а по полю identity, т.е. идентификатору конкретной социальной сети. Бонусом может служить как иконка с ссылкой на профиль в социальной сети, так и любые поощрения на сайте и как сверх бонус собственно сама возможность авторизации.
При наличии таких полей остается только контролировать уникальность этих данных в базе, чтобы попытки привязать один и тот же аккаунт к разным профилям на сайте пресекался на корню.
Источник: habr.com
О проекте
uLogin — это инструмент, который позволяет пользователям получить единый доступ к различным Интернет-сервисам без необходимости повторной регистрации, а владельцам сайтов —получить дополнительный приток клиентов из социальных сетей и популярных порталов (Google, Яндекс, Mail.ru, ВКонтакте, Facebook и др.)
uLogin — авторизация через ВКонтакте и другие социальные сети
Преимущества для пользователей:
Возможность входа на сайты или блоги, поддерживающие технологию uLogin, без дополнительной регистрации.
Конфиденциальность ваших данных и безопасный доступ к информации в ваших учетных записях.
Возможность выбрать наиболее подходящий для вас способ идентификации (через популярные социальные сети и порталы).
Преимущества для владельцев сайтов:
Интуитивно понятный пользовательский интерфейс.
Легкость и быстрота установки, настройки и управления виджетом uLogin.
Поддержка различных способов авторизации пользователей.
Дополнительный приток клиентов из популярных социальных сетей и порталов.
Единое API получения данных пользователя (все данные предоставляются в едином формате).
Дополнительная возможность получения адреса электронной почты, номера телефона и другой информации о пользователе.
Мы постоянно работаем над совершенствованием нашей системы и расширением ее функциональности. Работая с нами, вы получите надежного партнера, который поможет вам повысить уровень сервиса вашего Ресурса и привлечь новых пользователей.
Источник: ulogin.ru
uLogin — что это за приложение?
uLogin — система, позволяющая получить доступ к многим веб-сайтам, используя учетную запись одного из популярного портала (Гугл, Яндекс, Маил ру, ВКонтакте, Фейсбук).
Простыми словами — это некий модуль, который можно установить свой свой сайт. Он обеспечивает вход на сайт или регистрацию на ресурсе автоматически, при условии что у пользователя есть учетная запись популярной площадки, например Гугл, Яндекс, Маил ру. Если есть — он входит на сайт используя данные одной из учетных записей. Думаю вы такое встречали в интернете, например войти с помощью Гугла или Фейсбука, при этом регистрироваться уже не нужно. Указывать пароль, дату рождения и прочее — ненужно, это удобно.
Пример авторизации на веб-портале через систему uLogin:
Приложение uLogin может запрашивать доступ к вашему аккаунту — да, это нужно, чтобы uLogin мог использовать данные ВК для автоматической регистрации на сайтах:
Важно одно — причиной этого запроса должно быть ваше действие. Просто так uLogin ничего делать не должен.
Пример — вход на сайт при использовании мобильного устройства через uLogin:
Нужно только выбрать социальную сеть, через которую вы хотите зайти на сайт (авторизоваться).
Источник: virtmachine.ru