0
我想在我的應用程序上實現Facebook身份驗證。我注意到我的API後端 - Loopback已集成passport。我不明白這會是什麼目的?爲什麼後端需要第三方認證?
從我所瞭解的認證發生在客戶端。 FB發佈的令牌應該傳遞給後端,以生成一個會話cookie /令牌來與我的應用程序的API交談。所以後端只應驗證FB用戶令牌,而不是實際驗證用戶。
A
回答
0
我已成功使用護照來實現FB驗證我的應用程序,並擁有比前兩天有了更好的瞭解。
我的假設下,由於用戶在某一時刻認證對客戶端發生在輸入用戶名和密碼。
服務器仍然有可能處理該過程。代替客戶端與FB或其他提供商通信的應用標識和訪問令牌,服務器可以代表他們這樣做。
相反,用戶看到其客戶端身份驗證過程中發生的服務器將用戶重定向至Facebook(或其他提供商)和通信應用程序ID和祕密彈出窗口。登錄成功後,facebook會將可以直接交換給access_token的授權碼直接傳遞給應用服務器,並將用戶重定向回另一個URL。
Passport使上述過程易於實現。
對我來說這方法似乎更加安全,因爲用戶不會看到您的應用程序ID或自己的FB的access_token。此外,通過服務器方法而不是客戶端(60天vs幾個小時)發佈該令牌時,該令牌的有效性會更長。
0
Passport給出了使用一個用戶名和密碼了一套全面策略支持的認證。當你管理多個社交網絡登錄時,這肯定會派上用場。
回送的功能是什麼,它會創建UserIdendity模型並將其與UserModel連接,從而創建User(如果他/她不存在)。
我的看法是服務器端驗證比客戶端更可靠。大多數社交網絡推薦服務器端驗證
相關問題
- 1. 爲什麼qtnetworkaccessmanager不去認證需要
- 2. HTTP狀態適合「需要第三方認證」條件?
- 3. 爲什麼我們需要第三方構建工具?
- 4. 安全認證用戶爲第三方
- 5. 爲什麼ASP.NET WebAPI後端需要Microsoft.Owin.Cors?
- 6. 爲什麼Laravel認證需要'網絡'後衛?
- 7. 第三方需要什麼限制/解決方法外部swf
- 8. Dojo - 需要第三方JS
- 9. 爲什麼在Vue中require()方法後需要默認?
- 10. 爲什麼在Django中需要基本或摘要認證?
- 11. 爲什麼在DBUtils.ExecuteMap中需要第三個參數?
- 12. 任何第三方asp.net認證
- 13. OAuth第三方認證狀態檢查
- 14. GAE認證到第三方網站
- 15. 第三方網站認證庫(如openid)
- 16. WCF - 第三方應用程序認證
- 17. 如何啓用第三方客戶端認證Asp.Net MVC
- 18. 什麼是第三方DLL?
- 19. 爲什麼要使用第三方矢量庫?
- 20. 需要圖javascript第三方插件
- 21. 需要第三方企業日曆API
- 22. 第三方api需要存根/嘲012
- 23. 爲什麼Google SafetyNet認證需要5秒以上?
- 24. 什麼是摘要認證?
- 25. 服務器端爲websocket需要什麼?
- 26. 爲什麼需要驗證用戶名?
- 27. 爲什麼需要用戶驗證?
- 28. 爲什麼需要SSL證書鎖定?
- 29. Joomla後端需要兩次登錄?爲什麼?
- 30. 爲什麼網絡應用需要後端語言?
我知道Passport可以很容易地整合多個社交登錄,但我不明白它在後端做什麼。由於用戶直接在fb(例如)域上輸入用戶密碼,所以認證必須發生在客戶端。我不瞭解後端的第三方身份驗證。 – charsi
請先參考http://passportjs.org/docs。 – itssajan