Deployd: Cách triển khai dpd-hộ chiếu và xác thực an toàn

Question

Hãy để tôi bắt đầu bằng cách nói rằng tôi thực sự thích Deployd. Tôi muốn sử dụng nó trong sản xuất, nhưng tôi muốn kết hợp OAuth và đăng nhập xã hội, vì vậy tôi đã cài đặt mô-đun dpd-passport. Nó hoạt động rất tốt, ngoại trừ hai vấn đề nhỏ (lớn):

1. Khi người dùng đăng nhập qua nhà cung cấp OAuth (ví dụ Facebook, Twitter, Github), hồ sơ người dùng mới được tạo ... nhưng nếu cùng một người dùng xóa cookie của họ hoặc sử dụng trình duyệt khác để đăng nhập, bản ghi người dùng mới được tạo.
2. Nếu tôi làm điều gì đó thông minh (đọc: hacky) và gán cho người dùng thông tin đăng nhập xã hội một ID dựa trên socialAccount và socialAccountId (một thứ duy nhất nhưng không đổi cho mỗi tài khoản xã hội), ai đó có thể sử dụng phương pháp chuẩn tạo người dùng để giả mạo người dùng bằng cách thực hiện yêu cầu POST tới điểm cuối /users nếu họ biết tài khoản SocialAccount và socialAccountId của người dùng đó.

Câu hỏi của tôi là: Làm thế nào tôi có thể A) ngăn chặn # 1 xảy ra, hoặc B) vô hiệu hóa các phương pháp tiêu chuẩn của người sử dụng tạo mà không cũng ngăn chặn người dùng tạo ra OAuth?

Có ai từng sử dụng thành công Deployd và dpd-passport trong sản xuất không? Nếu có, tôi muốn nói chuyện với bạn ...

Xin cảm ơn trước!

Answer 1

Trước hết, tôi nghĩ bạn chưa thêm các trường tùy chỉnh trên mỗi tài liệu. https://www.npmjs.com/package/dpd-passport#requirements

Tôi chưa từng và đã quan sát tính năng người dùng mới (vì nó không thể tra cứu phản hồi từ dịch vụ xác thực để tìm người dùng trước đó). Thêm các trường này đã sửa nó.

Ngoài ra, có một nhóm google đây: https://groups.google.com/forum/#!forum/deployd-users

Hy vọng rằng sẽ giúp.