第三方账号登陆的问题

2014-02-14 18:24:34 +08:00

Nintendov

最近在做第三方登陆那块儿，oauth获取token那方面的差不多都完了，观察其他网站的第三方登陆到了最后都是完善用户信息（用户名，邮箱等），想问这样的话数据库用户表里的密码字段怎么办，空着么，虽然虽然编写了一段检查如果密码为空不能登录，，不过还是感觉背后凉飕飕各种不安全啊，大家都是怎么做的

2533 次点击

所在节点

5 条回复

alexapollo

2014-02-14 18:52:01 +08:00

空着啊……第三方需要密码吗？有token就行了不是？
当然如果你有强密码需求，我觉得还是可以做“第三方注册”的流程。

但我总觉得这种流程很奇怪，用户也会觉得这种行为很奇葩。

Nintendov

2014-02-14 19:04:35 +08:00

@alexapollo 空着总是有点虚啊，我是刚有去下了个discuz安装了下用了它的qq登陆，在数据库里发现是有密码的，应该是discuz自己做了一个，不想去看discuz坑爹长的源代码了，于是就看看你们是怎么做的，，空着总是怕自己有地方没检测到密码为空让它不能登录。。然后一个用户名就进去了

alexapollo

2014-02-14 20:01:32 +08:00

@Nintendov 不同实现不一样，很多站点都是可以直接用OAuth token登录，无注册流程

Mihuwa

2014-02-14 20:06:58 +08:00

感觉如果有自己的登录系统，第三方登录不是很必要啊。

alexrezit

2014-02-14 20:12:37 +08:00

根本不应该保存密码啊... 甚至根本不应该拿到密码才对! 你能拿到的只有 token!

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.