这是一个创建于 3928 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在做第三方登陆那块儿,oauth获取token那方面的差不多都完了,观察其他网站的第三方登陆到了最后都是完善用户信息(用户名,邮箱等),想问这样的话数据库用户表里的密码字段怎么办,空着么,虽然虽然编写了一段检查如果密码为空不能登录,,不过还是感觉背后凉飕飕各种不安全啊,大家都是怎么做的
 |
1
alexapollo 2014-02-14 18:52:01 +08:00
空着啊……第三方需要密码吗?有token就行了不是?
当然如果你有强密码需求,我觉得还是可以做“第三方注册”的流程。 但我总觉得这种流程很奇怪,用户也会觉得这种行为很奇葩。 |
 |
2
Nintendov OP @alexapollo 空着总是有点虚啊,我是刚有去下了个discuz安装了下用了它的qq登陆,在数据库里发现是有密码的,应该是discuz自己做了一个,不想去看discuz坑爹长的源代码了,于是就看看你们是怎么做的,,空着总是怕自己有地方没检测到密码为空让它不能登录。。然后一个用户名就进去了
|
|
3
alexapollo 2014-02-14 20:01:32 +08:00
@Nintendov 不同实现不一样,很多站点都是可以直接用OAuth token登录,无注册流程
|
 |
4
Mihuwa 2014-02-14 20:06:58 +08:00
感觉如果有自己的登录系统,第三方登录不是很必要啊。
|
 |
5
alexrezit 2014-02-14 20:12:37 +08:00
根本不应该保存密码啊... 甚至根本不应该拿到密码才对! 你能拿到的只有 token!
|
Select Language