ユーザー認証 - oAuth質問

Question

私は過去に、クライアント側の$ window.sessionStorageにユーザートークンを格納する手回しアプリを実行しました。

私はそれ以来、これは安全ではないことを認識しています。私は今、私が作るノード/エクスプレスバックエンドAPIを使用するアプリケーションを保護する最も安全で標準的な方法を探しています。また、Web用の角度やネイティブモバイルアプリなどのこのAPIにリクエストを行うフロントエンドを使用します。さらに、ブラウザを終了するたびに、$ウィンドウのセッションストレージが消去されたため、再ログインする必要がありました。

私がこれまで研究してきたことから、あなたがハンドリングしようとしている場合に最も安全な方法の1つは、HTTPのみの安全なクッキーにjwtを格納することです。

しかし、私はoAuthのような既に存在するサービスを使いたいと思っています。カップルの質問：

---

1）oAuthはあなたのユーザーベースのオーナーシップを維持するうえでどれくらい安全ですか？今から3年後には、急に急に、またはゆっくりと消えてしまいますか？すべてのユーザーが技術的にサーバーに保存されているわけではありませんか？ユーザーを自分のアプリにネイティブに保つにはどうすればよいですか？

2）私がsnapchat、twitter、tumblrなどと同じ分野でスタートアップアプリケーションを作成しようとしている場合は、oAuthのようなサービスを使用して認証を処理することをお勧めしますか？もちろん、将来は不明ですが、私のアプリが何百万人ものユーザーに届くと仮定した場合、oAuthのようなサービスを使用するのは賢明な選択ですか？ oAuthを使い始めると、1年か2年で自分のデータベースにユーザーを格納することになることはありません。

ありがとう

Answer 1

OAuthは認可のためのオープンスタンダードです。

多分あなたはAuth0について考えているでしょう。 Auth0、Stormpath、Apigee、UserApp、AuthRocket、Amazon Cognitoなど、ユーザー認証を処理できるサービスがたくさんあります。どちらを選択する場合でも、サービスの使用を中止したい場合は、データベースを取得することができます。すべての人が明示的にそれらを残すための簡単な方法を提供しているわけではありませんが、それがあなたのために重要であるなら、誰があなたのニーズに合っているか、誰がそうでないかを確認し、

OAuthについては、https://en.wikipedia.org/wiki/OAuthの記事を参照してください。 ウィキペディアには巨大なlist of OAuth providersがありますが、Twitter、Google、Facebookなどのサービスです。ある方法では、これらのサービスの1つを使ってすべてのログインを管理することができますが、あなたを自分の競争相手と見なすと直ちに問題になります。私はそのような話を聞いたことがあります。

テーマに関するいくつかの興味深い読み取り：

• The dangers of OAuth/Social Login
• Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services
• OpenID Vulnerability report: Data confusion
• Social Login Setups – The Good, the Bad and the Ugly