Hãy để tôi bắt đầu bằng cách nói rằng tôi thực sự thích Deployd. Tôi muốn sử dụng nó trong sản xuất, nhưng tôi muốn kết hợp OAuth và đăng nhập xã hội, vì vậy tôi đã cài đặt mô-đun dpd-passport. Nó hoạt động rất tốt, ngoại trừ hai vấn đề nhỏ (lớn):Deployd: Cách triển khai dpd-hộ chiếu và xác thực an toàn
- Khi người dùng đăng nhập qua nhà cung cấp OAuth (ví dụ Facebook, Twitter, Github), hồ sơ người dùng mới được tạo ... nhưng nếu cùng một người dùng xóa cookie của họ hoặc sử dụng trình duyệt khác để đăng nhập, bản ghi người dùng mới được tạo.
- Nếu tôi làm điều gì đó thông minh (đọc: hacky) và gán cho người dùng thông tin đăng nhập xã hội một ID dựa trên socialAccount và socialAccountId (một thứ duy nhất nhưng không đổi cho mỗi tài khoản xã hội), ai đó có thể sử dụng phương pháp chuẩn tạo người dùng để giả mạo người dùng bằng cách thực hiện yêu cầu POST tới điểm cuối
/users
nếu họ biết tài khoản SocialAccount và socialAccountId của người dùng đó.
Câu hỏi của tôi là: Làm thế nào tôi có thể A) ngăn chặn # 1 xảy ra, hoặc B) vô hiệu hóa các phương pháp tiêu chuẩn của người sử dụng tạo mà không cũng ngăn chặn người dùng tạo ra OAuth?
Có ai từng sử dụng thành công Deployd
và dpd-passport
trong sản xuất không? Nếu có, tôi muốn nói chuyện với bạn ...
Xin cảm ơn trước!
Rất muốn có hướng dẫn về cách sử dụng hộ chiếu dpd. – vpx