Security 如何将密码和帐户管理外包给第三方？

我了解到，自己存储密码、处理丢失的密码和帐户等是一个复杂的过程，如果你不想冒安全风险，需要做很多工作

我正在建立一个安全性非常重要的网站。我认为最好不要尝试自己处理，而是将其外包给外部服务

我要找的东西有点像“使用Facebook登录”或“使用谷歌登录”，除了：

• 我不能使用这些网站或Twitter，因为我稍后会建议用户在这些服务上链接他们的帐户，所以如果我也使用它们进行密码和帐户管理，这可能会让人困惑。（例如，如果我要求某人使用Facebook登录，来该网站链接到Twitter的人不会理解）
• 我想让用户能够轻松地为我的网站拥有一个帐户。如果使用他们的谷歌账户，其他网站也会使用它（至少是Gmail）。我想要的是，用户能够创建一个帐户只是我的网站

有没有想过为这项服务提供服务

提前谢谢

例如：

---

我只是想告诉大家，Stormpath现在以两种方式包括用户界面：

我们的登录屏幕基本上是托管的，您可以与任何应用程序一起使用（甚至可以跨多个应用程序集中登录）

内置于特定于框架的示例应用程序中的视图和默认屏幕：

---

我们正在努力让屏幕进入我们所有的示例应用程序，所以如果您正在寻找特定的内容，请告诉我们。我们可能会给你一些开始的代码。support@stormpath.com

如果这对其他人有帮助，我比较（2015年5月18日）：

• Auth0
• 作者火箭
• 用户应用
• 每日红

我的结论是Auth0，因为虽然所有功能都非常相似，但它感觉最合法，因为它不是一家可能在几个月内消失的初创公司。现在，对我来说非常重要的原因是因为登录是一项基本要求，所以作为一名客户，我需要相信身份验证作为一项服务将持续多久

以下是完整的对比故事：

---

非常感谢您的回答！我试着看看这三个选项，似乎对我来说最好的是auth0。只是为了确保我了解它们是如何工作的：-Parse通过API提供服务，这将使我能够创建具有密码的用户，并通过调用他们的API发送电子邮件验证电子邮件，但是用户界面由我决定，也不提供忘记密码的工作流。-Stormpath完全可以通过API实现我所需要的所有功能，但我仍然需要构建所有的用户界面部分—Auth0可以完成所有功能，并包括一个易于定制的用户界面。是这样吗？对不起，我不知道有关服务的详细信息。至于Stormpath，我是在翻译ApacheShiro（）教程时发现的。Parse.com之所以出名是因为Facebook收购了它。Auth0列在OpenID Connect的库部分。关键词是OAuth、身份验证、授权和BaaS（后端即服务）。@NickCox想知道现在谁留在这个空间了。不过，我在最初的评论中有点不吉利：-（非常感谢。我会检查一下。讽刺的是，在整整三天之后，我放弃了Auth0而选择Desive。我只是发现文档毕竟太少了，很难使用。有太多的命令，我认为这些命令显然都有很好的文档记录，例如，如何注册、登录、注销、更改电子邮件、更改密码，但通常不会imes我不得不去看源代码…我的文档黄金标准是条纹