Deployd:如何实施dpd-passport并进行安全authentication
让我先说我真的很喜欢Deployd 。 我想在生产中使用它,但我想要合并OAuth和社交login,所以我安装了dpd-passport模块。 除了两个小(大)的问题之外,它工作的很好:
- 当用户通过OAuth提供商(例如Facebook,Twitter,Github)login时,会创build一个新的用户logging…但是如果同一用户清除了他们的Cookie或使用不同的浏览器login,则会创build一个新的用户logging。
- 如果我做了一些聪明的事情(阅读:hacky),并根据socialAccount和socialAccountId(为每个社交帐户独特但不变的)为社交login用户分配一个ID,则可以使用标准的用户创build方法来欺骗用户,如果他们知道用户的socialAccount和socialAccountId,则向
/users端点发送POST请求。
我的问题是:IA)如何防止#1发生,或者B)禁用用户创build的标准方法,同时又不妨碍OAuth用户创build?
有没有人在生产中成功地使用过Deployd和dpd-passport ? 如果是这样,我想和你谈谈…
提前致谢!
首先,我认为你没有为每个文档添加自定义字段。 https://www.npmjs.com/package/dpd-passport#requirements
我也没有,并观察到新的用户function(因为它不能查找auth服务的响应从以前find用户)。 添加这些字段修复了它。
此外,这里有一个谷歌组: https : //groups.google.com/forum/#!forum/deployd-users
希望有所帮助。