Sto sviluppando un'app con entrambe le opzioni di Facebook e Google per l'accesso, oltre a un classico accesso e-mail + password. Mi sto interrogando su diverse cose riguardanti l'accesso con API di terze parti:Best practice (migliore per Android): autenticare un utente con Facebook o Google login
1. dal momento che un utente può accedere con il suo account Facebook e in seguito decidere di disconnettersi e accedere con il proprio account Google, il l'utente dovrebbe essere riconosciuto dal suo indirizzo e-mail. Pertanto, ogni volta che accede a un altro account, l'indirizzo e-mail viene ricercato nel database e, se viene trovato, allega questo nuovo collegamento all'account creato in precedenza. Approvo solo questo punto, per favore.
2. Se l'utente si a Facebook login, è possibile ottenere un access token, userId, utente e-mail, ecc Qual è la prassi migliore per autenticare l'utente in modo che sia ancora il modo più sicuro? Devo inviare il suo accesso a Facebook e indirizzo e-mail direttamente al server? Il server dovrebbe controllare contro Facebook, se l'accesso ai cookie esiste davvero su Facebook? Qual è il modo migliore e più sicuro per generare un token di accesso privato dell'applicazione sul lato server? Ho sentito qualcosa riguardo l'hash MD5 ... Dovrei quindi utilizzare solo questo token di accesso appena generato nelle chiamate API e non utilizzare nessuna delle credenziali di Facebook? O dovrei usare le credenziali di Facebook e quindi salvarle sul lato server/client? Ho intenzione di utilizzare Java App-engine per il lato server della mia app.
3. Cosa succede se l'utente elimina il suo account su Facebook? Come lo saprà l'app? Se lo sa comunque, cosa dovrebbe fare con l'account?
- Devo controllare regolarmente il token di accesso su Facebook se è ancora valido? Perché, come e quanto spesso?
Non sono sicuro di chiederlo nel posto giusto. Se ho torto, per favore, reindirizzami nel modo in cui dovrei andare, magari qualche link su queste buone pratiche? Finora, non ho trovato nulla che risponda a TUTTE le mie domande. Credo che sia la codifica e la sicurezza siano collegati. Grazie per tutti i tuoi suggerimenti e trucchi.
Questa è una soluzione davvero lunga ma pochi giorni fa Google ha aggiunto identity-toolkit nei loro progetti googleGitHit GitHub; https://github.com/googlesamples/identity-toolkit-android. E la pagina web principale di identity-toolkit sembra riferirsi liberamente alle problematiche simili che stai chiedendo; https://developers.google.com/identity-toolkit/. Tutto questo è qualcosa che non so quasi nulla ma la tua domanda mi ha ricordato questo. – harism
Grazie! Potrebbe aiutare a rispondere ad alcune delle mie domande. – vandus