Ruby on rails Rails多重身份验证
我的应用程序提供两种类型的身份验证——普通电子邮件/密码或facebook帐户。 与FB的身份验证由属于用户的单独模型“身份验证”处理。 因此,当当前通过facebook使用电子邮件用户日志登录时,这只会让他能够使用基于FBAPI的功能。 但是,如果他没有帐户,并试图与FB认证,这会导致一个问题。我绝对不想强迫他完全注册,因为我看不出FB交互有什么意义,所有功能都可以通过FB插件设置。 所以我有两种方法来解决这个问题。首先,通过FB身份验证创建用户,跳过用户模型验证,只需将电子邮件和密码字段留空即可。第一个问题-它是否会导致一些非常糟糕的安全漏洞? 第二种方法——从FBAPI获取他的电子邮件并自动生成密码。 我想选择第一种方法,但潜在的安全问题确实令我担忧。Ruby on rails Rails多重身份验证,ruby-on-rails,facebook,authentication,Ruby On Rails,Facebook,Authentication,我的应用程序提供两种类型的身份验证——普通电子邮件/密码或facebook帐户。 与FB的身份验证由属于用户的单独模型“身份验证”处理。 因此,当当前通过facebook使用电子邮件用户日志登录时,这只会让他能够使用基于FBAPI的功能。 但是,如果他没有帐户,并试图与FB认证,这会导致一个问题。我绝对不想强迫他完全注册,因为我看不出FB交互有什么意义,所有功能都可以通过FB插件设置。 所以我有两种方法来解决这个问题。首先,通过FB身份验证创建用户,跳过用户模型验证,只需将电子邮件和密码字段留空
你有什么建议?我认为你不会有安全漏洞,因为在论文中,你在你的模型中做了所有需要关闭它们的东西 我认为你应该关注yout DB的完整性,以及你将来可能创建的其他帮助工具,这些帮助工具可以推断fb没有提供的电子邮件或任何信息 我认为你可以让fb提供他们从auth cookie读取数据,并使你的DB完全填满