1
比方说,我正在写一个程序或应用程序,要求我代表他们进行身份验证的用户,即让用户为他们的凭据登录到网站或东西,检索和处理数据。安全认证用户为第三方
我怎样才能做这样的事情在这样一种方式,用户的安全得到了保证,最好,这样我可以甚至看不到他们提供所有的证书。如果这不可能,用户如何确信他们的隐私和安全不会受到任何损害。
比方说,我正在写一个程序或应用程序,要求我代表他们进行身份验证的用户,即让用户为他们的凭据登录到网站或东西,检索和处理数据。安全认证用户为第三方
我怎样才能做这样的事情在这样一种方式,用户的安全得到了保证,最好,这样我可以甚至看不到他们提供所有的证书。如果这不可能,用户如何确信他们的隐私和安全不会受到任何损害。
简单的答案,但可能不会对你有用的是:
你不能保证隐私和安全不受损害!作为服务器上的管理员,如果您接收并存储用户凭据,则可以访问它们。
Immutable Law #6 of Security: A computer is only as secure as the administrator is trustworthy
所以,想想什么级别的安全性,你会酌情接受。
您可以使用类似OpenID的,像StackExchange使用 - 它会从自己的责任认证件。只有OpenID提供者接收凭据 - SE只是从他们那里获得一个令牌。