В чем отличие SSO от OAuth? Плюсы и минусы. Что и как выбрать? Безопасность и лучшие практики аутентификации. Как реализовать прозрачный “log-in” без редиректов: особенности кросс-доменного общения.
12. Проблемы
1. Каждый раз заполнять профиль
2. При изменении данных менять везде.
3. Отдельный логин на разных сайтах
(напрягает)
4. Отдельный логаут на разных сайтах
(безопасность)
29. Нужно ли вам SSO?
Да, если:
● Сайты с общей тематикой.
● Есть общий функционал.
● Планируется создание эко-системы.
Нет, если:
● Набор отдельных сайтов
30. Достоинства SSO
1. Единый список пользователей. (общий ID)
2. Удобный трекинг активности.
3. Права могу настраиваться в одном месте. (optional)
4. Единый кабинет пользователя.
5. Единоразовый вход/выход для работы со всеми сайтами
системы.
6. Нужно запомнить всего одну пару логин/пароль (optional)
7. Отдельный Auth сервис. Меньше кода - меньше багов.)
8. Отдельный домен для авторизационных cookies.
33. Простой пароль
1. Запрещаем создание простых паролей.
2. Двухфакторная авторизация.
3. Правильная защита от брутфорса и подобных атак.
34. Отказ системы
1. Причины отказов. (60% - косяки сотрудников)
2. Падение OAuth провайдеров.
3. Дублирование серверов.
4. Long-term cookies на конечных сервисах.
35.
36. Основной функционал
1. Log-in/Sing-up
2. Log-out
3. Проверка состояния (залогинился ли в других местах).
4. Удаленное создание сессии.
5. Удаленный дроп сессии.