自定义OAuth与第三方

Question

这可能更像是一个行业问题，而不是一个特定的技术问题，但答案必须考虑技术可行性。我已经试着让问题尽可能地尖锐。我正在开发一个新的网络应用程序，必须保护社会安全号码，银行账户交易等。安全是必不可少的，就像安全的外观一样。然而，我工作的公司规模很小。依赖第三方发行商(例如谷歌、Facebook、Twitter、雅虎)有意义吗?这些发行商当然很受欢迎，但社交媒体并没有传达出银行业的严肃性。或者，我能像这些第三方一样安全地实现OAuth/Owin/Katana吗？有没有其他既可靠又受欢迎的选择，而不是由社交媒体驱动的？或者自己实现安全性是最有意义的吗？我没有很深的安全背景，但如果窗体身份验证对我的情况最有意义，我愿意学习它。

Answer 1

你的问题不够具体，不能给你具体的建议。但是创建自己的安全性从来都不是一个好主意。

您是否应该使用社交媒体身份提供商取决于您需要在多大程度上确定用户的身份。如果用户必须自己输入所有这些信息，那么您只需确保只有该帐户具有访问权限。在这种情况下，社交媒体帐户将工作得很好。您不能确定用户是否就是他所说的那个人，但这并不重要，因为他只能看到他自己输入的信息。

但是，如果此SSO和银行交易信息来自其他来源，您将需要一个身份提供者，为您提供有关用户身份的更多保证(例如，银行的登录服务器)