我正在考虑使用Facebook登录大型网站,其中包含一些类似“银行”的信息,例如查看帐户余额。当前登录是用户名/密码系统,否则我不知道当前的安全测量值。
有哪些陷阱? 现在,我正在考虑授权和正常运行时间的安全性。
Facebook OAuth 2.0足够安全吗?刚看到OAuth 2.0的主要作者离开了工作组(参见:http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/),因为它“未能实现其两个主要目标 - 安全性和互操作性”。
答案 0 :(得分:0)
这比Security.StackExchange.com更好。但是
在我看来,它不够安全。我意识到有潜在的好处,我意识到OpenId,OAuth和其他类似机制等系统的价值,但是把银行信息放在后面,我不这么认为。
脱离我的头顶,这是我最犹豫的两个原因:
Jeff Atwood在this excellent blog post中列出了OpenId(类似)的优点和几个问题。