Связывание нескольких учетных записей с одним пользователем: что считается безопасной практикой, а что нет?

Question

В моем веб-приложении пользователи авторизуются через Twitter или Facebook.Я намерен также разрешить им при входе в систему, скажем, через Twitter, авторизоваться через Facebook.

Даже на этом этапе может быть взломана учетная запись пользователя?Я думал об этом и не мог найти никаких подводных камней, но, возможно, я просто не выглядел достаточно усердно.

Более того, я намерен хранить оба oauth-токена в одной строке в базе данных, чтобы при входе пользователя в систему через Facebook он / она автоматически входил в систему через Twitter (например,возможность размещения в обоих местах, если он / она выбирает так).(Я еще не реализовал это, поэтому я не удивлюсь, если это невозможно;)

Это считается безопасной практикой?Я не мог найти потенциальные ошибки, поэтому мне нужен совет от более опытных людей.

Answer 1

Пока вы сохраняете свои токены доступа недоступными, хранение двух из них не менее безопасно, чем хранение одного из них.

Как упоминалось выше, их размещение в одной строке таблицы, вероятно, не является оптимальнымесли вы хотите интегрировать больше сервисов в будущем, но когда это произойдет, вам, несомненно, будет несложно реорганизовать ваш код для удовлетворения этой потребности.