外部登錄的安全性

　　Oauthhe 和OpenID簡化了安全性編碼，但他們也給應用程序引入了其他潛在的攻擊媒介。如果一個提供其網(wǎng)站被破壞，或者網(wǎng)站之間的安全通信遭到破壞，攻擊者可能會暗中破壞我們網(wǎng)站的登錄，或者捕獲用戶信息。因此，當使用驗證時，必須重視安全性問題。盡管我們使用外部服務進行身份驗證，但是網(wǎng)站安全問題仍然是我們應該負起的責任。

　　通常使用知名提供器，只支持我們信任的提供器，這一點很重要。下面是兩個主要原因：

　　第一，當我們把用戶重定向到外部站點時，我們需要確保這些站點不是惡意的，沒有安全問題的網(wǎng)站，因為這樣的站點可能會泄露或誤用用戶登錄數(shù)據(jù)或其他信息。

　　第二，身份驗證提供器向我們提供用戶的信息，這些信息不僅僅是用戶的注冊狀態(tài)，還有e-mail地址和其它潛在的具體信息。如果這些信息是不正確的，我們就會驗證錯誤的人，或者使用錯誤的用戶信息。

　　在登錄網(wǎng)站旗艦執(zhí)行HTTPS會導致對外部提供器的所有調用都在HTTPS上傳輸。這反過來導致提供器使用HTTPS回調到我們網(wǎng)站。

　　此外，Google驗證和HTTPS一起使用是很重要的。Google會通過HTTP報告一個登錄進來的用戶而后對于兩個不同的用戶，會通過HTTPS報告。要求使用HTTPS就會避免這一問題的發(fā)生。