【发布时间】:2013-04-10 18:36:25
【问题描述】:
我的应用程序提供两种类型的身份验证 - 通常的电子邮件/密码或使用 facebook 帐户。 使用 FB 的身份验证由属于用户的单独模型“身份验证”处理。 因此,当当前也通过 facebook 使用电子邮件用户日志登录时,这只是让他能够使用基于 FB API 的功能。 但是,如果他没有帐户并尝试使用 FB 进行身份验证,就会出现问题。我绝对不想强迫他完成注册,因为我在这个 FB 交互中看不到任何意义,而且所有功能都可以通过 FB 插件设置。 所以我有两种解决方法。首先,通过 FB 身份验证创建用户,跳过用户模型验证,只需将电子邮件和密码字段留空。第一个问题 - 它会导致一些非常糟糕的安全漏洞吗? 第二种方式 - 从 FB api 获取他的电子邮件并自动生成密码。 我想选择第一种方法,但潜在的安全问题确实让我很担心。 你有什么建议?
【问题讨论】:
标签: ruby-on-rails facebook authentication