Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 11.11.2016, 10:37
Аспирант
Отправить личное сообщение для winch Посмотреть профиль Найти все сообщения от winch
 
Регистрация: 30.04.2015
Сообщений: 87

можно ли доверять е-майлу, предоставляемому через api соц-сетей?
На сайте организован вход пользователей через социальные сети. Кроме того пользователь может зарегистрироваться на сайте, указав свой e-mail.
Практика показывает что часть зарегистрировавшихся пользователей забывают через что они входили первый раз и при следующем сеансе пытаются войти через другую соц-сеть. И очень удивляются не попав на свой прежний аккаунт.

Я задумался, а может идентифицировать пользователя не по id аккаунта, предоставляемого api соц-сети, а по предоставляемому е-майлу? Т.е. если у человека вконтакте и в одноклассниках был указан одно и тоже мыло, то и на моем сайте считать этот аккаунт одним, независимо через что он зашел.

Но возникает вопрос а все ли соц-сети при регистрации проверяют принадлежность мыла юзеру? и можно ли им в этом доверять? ведь если в какой то соц-сети есть возможность указать произвольный e-mail, это открывает большую дыру для не санкционированного входа на любой аккаунт на моем сайте.
Ответить с цитированием
  #2 (permalink)  
Старый 11.11.2016, 10:43
без статуса
Отправить личное сообщение для Deff Посмотреть профиль Найти все сообщения от Deff
 
Регистрация: 25.05.2012
Сообщений: 8,220

winch,
Ну 90% крупных сайтов пользуются услугой...
И нужно выбирать известных операторов услуги (на Хабре есть статьи)
Ответить с цитированием
  #3 (permalink)  
Старый 11.11.2016, 10:52
без статуса
Отправить личное сообщение для Deff Посмотреть профиль Найти все сообщения от Deff
 
Регистрация: 25.05.2012
Сообщений: 8,220

Сообщение от winch Посмотреть сообщение
Я задумался, а может идентифицировать пользователя не по id аккаунта, предоставляемого api соц-сети, а по предоставляемому е-майлу? Т.е. если у человека вконтакте и в одноклассниках был указан одно и тоже мыло, то и на моем сайте считать этот аккаунт одним, независимо через что он зашел.
Давно так делают и дополнительно на емейл высылают пароль, если челу ограничили в дальнейшем доступ к аккаунту или авторизация нежелательна в текущий момент(жена - дочь в соц сетях в данный момент, а чел якобы в поездке до дому)
Ответить с цитированием
  #4 (permalink)  
Старый 11.11.2016, 11:05
Аспирант
Отправить личное сообщение для winch Посмотреть профиль Найти все сообщения от winch
 
Регистрация: 30.04.2015
Сообщений: 87

Это понятно, но все же меня волнует безопасность этого метода. Вдруг хитрому пользователю как-то удасться подменить емейл на стороне соц-сети, а мой сайт его примет за другого и даст доступ к конфиденциальной информации другого пользователя.

это исключено?
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проверка статуса авторизации через open api на сайте (vk.com api) mecer Общие вопросы Javascript 4 06.05.2014 08:31
Выручайте Нужно сделать так чтобы через HTML Можно было открыть прогу на Компе Это Во HTML HELP Элементы интерфейса 6 25.02.2014 03:39
Можно через facrbook API сменить свое имя фимилию? ozzon91 Общие вопросы Javascript 2 14.02.2014 02:03