Это может быть скорее отраслевой вопрос, а не технический, но ответ должен учитывать техническую осуществимость. Я постарался задать вопрос, насколько это было возможно. Я работаю над новым веб-приложением, которое должно защищать номера социального страхования, операции с банковским счетом и т. Д. Безопасность важна, как и появление безопасности. Однако компания, в которой я работаю, невелика. Имеет ли смысл полагаться на сторонние эмитенты (например, Google, Facebook, Twitter, Yahoo), которые, безусловно, популярны, но поскольку социальные сети не передают серьезность, скажем, банковской отрасли? Или я могу реально ожидать, что OAuth/Owin/Katana будет надежно реализовывать эти третьи стороны? Есть ли еще один вариант, который является надежным и популярным, без поддержки социальных сетей? Или это имеет смысл для обеспечения безопасности? У меня нет особого фона безопасности, но я желаю узнать его, если проверка подлинности форм имеет наибольший смысл для моей ситуации.Custom OAuth vs 3rd party
ответ
Ваш вопрос не достаточно конкретный, чтобы дать вам конкретный совет. Но создание собственной безопасности никогда не является хорошей идеей.
Независимо от того, используете ли вы поставщиков услуг идентификации в социальных сетях, зависит от того, сколько вам нужно, чтобы быть уверенным в личности пользователя. Если пользователь должен сам вводить всю эту информацию, вам нужно только убедиться, что только у этой учетной записи есть доступ. В этом случае учетная запись в социальных сетях будет работать нормально. Вы не можете быть уверены, что пользователь - тот, кем он говорит, но это не имеет значения, поскольку он может видеть только информацию, в которую он входил сам.
Если, однако, эта информация об SSO и банковских транзакциях поступает из другого источника, вам понадобится поставщик удостоверений, который даст вам больше гарантий относительно личности пользователя (например, сервера входа в систему банка)