Ваш вопрос состоит из основных частей к нему:
- Аутентификация
- Авторизация
Обычно к ним не относятся по-разному, если провайдер идентификации (IP) является вашим, что до сих пор было наиболее распространенной настройкой в веб-приложениях.
При использовании провайдера OpenId, такого как Google, часть аутентификации отделена от вашего контроля. Вы получите обратно токен, сообщающий, аутентифицирован ли пользователь или нет. Маркер обычно содержит следующие утверждения: имя, адрес электронной почты и именованный идентификатор, где последним является уникальный идентификатор идентификатора на IP-адресе.
Пока все хорошо.
Трюк теперь, как вы спрашиваете, как мне авторизовать этого пользователя ?
ну, есть несколько подходов к этому.
Прежде всего, когда вы создаете локального пользователя в своей системе, вы можете предварительно заполнить значения имени и адреса электронной почты на основе утверждений, которые вы получаете от IP. В этом процессе вы можете начать и сказать, что все пользователи, у которых есть профиль, сохраненный в вашей системе, авторизованы, или вы можете разработать дальнейшие процессы, которые будут добавлять любую необходимую вам информацию о пользователе.
Тогда, как избежать повторной регистрации пользователя, если он переключается с Google на Facebook в качестве IP-адреса?
Здесь все становится сложнее. Наиболее распространенное утверждение, которое Google, Yahoo, Facebook предоставят вам, - это адрес электронной почты и имя. Итак, что вы можете сделать, так это попытаться сопоставить входящую заявку с существующими клиентами в вашем приложении. Однако это не безопасно, поскольку в разных системах люди могут получать разные электронные письма.
Значение имени также небезопасно.
В нашей настройке мы начинаем с сопоставления электронных писем, поскольку мы знаем, что большинство IP-адресов проверяют адреса электронной почты. Это значительно уменьшит дубликаты. После этой проверки мы начинаем наш собственный процесс проверки, целью которого является проверка того, зарегистрирован ли человек. Этот процесс ищет мобильный номер клиента в нашей базе данных, и если совпадение найдено, мы отправляем одноразовый пароль клиенту, чтобы подтвердить правильность владения номером телефона.
Поскольку вход в систему зависит от времени, мы создали простую таблицу SQL, которая отображает внешние идентификаторы на номера наших клиентов. Это позволяет нам реализовать такую логику проверки за пределами всех наших веб-приложений (и тем самым уменьшить избыточность кода)