如何建立安全的社會春季註冊/登錄這painfree用戶

Question

我的目標是建立一個單一的點擊註冊/使用社交媒體這painfree使用OAuth和SocialAuthenticationFilter尚未簽署擔保爲我的網站。

理想情況下你可以登錄到同一帳戶，或者嘰嘰喳喳/ Facebook的等（不首先把它們連接到用戶帳戶）。

我從工作的一個例子是Spring社會上展示的git發現，這是夢幻般的，但它仍然需要一箇中介「簽署」的一步。

我想不出讓使用aouth僅使用來自Facebook登錄的信息安全帳戶的方式，我更喜歡它，如果用戶沒有註冊並連接按例子。

那麼，有沒有這樣做的安全方式還是我誤解了一些東西？

謝謝

Answer 1

使用OAuth/OIDC是正確的選擇。

爲了自動匹配來自不同社會登錄提供商的登錄，你必須依靠上的電子郵件地址作爲主要用戶標識符。

一旦依靠電子郵件地址，您可能會自動在您的內部數據庫中註冊新用戶。

但是用戶可能想要更改他們的電子郵件地址。這可能會使流程顯着複雜化，具體取決於您想要支持的選項。