Это может быть скорее отраслевой вопрос, чем конкретно технический, но ответ должен учитывать техническую осуществимость. Я постарался сделать вопрос максимально точным. Я работаю над новым веб-приложением, которое должно защищать номера социального страхования, транзакции по банковским счетам и т. д. Безопасность важна, как и внешний вид безопасности. Однако компания, в которой я работаю, небольшая. Есть ли смысл полагаться на сторонних эмитентов (например, Google, Facebook, Twitter, Yahoo), которые, безусловно, популярны, но поскольку социальные сети не передают серьезности, скажем, банковской отрасли? Или я действительно могу рассчитывать на то, что OAuth/Owin/Katana будет реализован так же безопасно, как эти третьи лица? Есть ли другой вариант, который был бы одновременно и надежным, и популярным, без социальных сетей? Или имеет смысл самому реализовать безопасность? У меня нет серьезного опыта в области безопасности, но я готов изучить его, если проверка подлинности с помощью форм наиболее целесообразна в моей ситуации.
Пользовательский OAuth против стороннего
Ответы (1)
Ваш вопрос недостаточно конкретен, чтобы дать конкретный совет. Но создание собственной безопасности никогда не бывает хорошей идеей.
Следует ли вам использовать поставщиков удостоверений социальных сетей, зависит от того, насколько вам нужно быть уверенным в личности пользователя. Если пользователь должен ввести всю эту информацию сам, вам нужно только убедиться, что доступ есть только у этой учетной записи. Аккаунт в социальных сетях в этом случае подойдет. Вы не можете быть уверены, что пользователь является тем, за кого себя выдает, но это не имеет значения, поскольку он может видеть только ту информацию, которую ввел сам.
Однако, если эта информация о системе единого входа и банковских транзакциях поступает из другого источника, вам понадобится поставщик удостоверений, который даст вам больше гарантий в отношении личности пользователя (например, сервер входа в систему банка).
