Знаете дельные обзоры/статьи по авторизации/аутентификации пользователей в массовых проектах?

Чат, а знаете какие-нибудь дельные обзоры/статьи по авторизации/аутентификации пользователей в массовых проектах? Когда всё время одни ломают-долбят, а другие постоянно забывают пароли и теряют контроль над своей почтой, куда ты отправляешь автоматически авторизующие ссылки на свой сервис. Поиск балланса между безопасностью и UX; на поле, в котором продакт/дизайнер обычно не понимает вообще ничего. Короче весь регистрационный/аутентификационный флоу (с учетом мобильного трафика, «без емейлов»), антибот-защита, базы доменов для временных емейлов, защита от перехвата сессий, политики протухания авторизующих ссылок, логика отслеживания «подозрительных» аутентификаций (новое устройство, новое географическое место), двух-факторная аутентификация, подтверждение через auth app/sms/missed calls, особенности oauth, SSO (если ещё кто-то это делает, привет я.ру/яндекс.ру) - вот это всё. Тем просто море, а толковых обзоров мне не попадалось.

520   9  
полезное

Comments

  1. Сергей Аксёнов
    Reply
    Сергей Аксёнов 6 лет назад
    SSO делают по-моему все B2B-сервисы для технологических компаний. (на самом деле подписываюсь на комменты)
  2. Алексей Трошичев
    Reply
    Алексей Трошичев 6 лет назад
    &gt;Тем просто море, а толковых обзоров мне не попадалось.<br><br>одна из причин такого положения вещей в том, что компаний, которые дорастают до размера, когда это становится реально проблемой - единицы. И у каждого своя специфика, свои риски и поэтому различаются подходы.<br><br>В посте огромное количество топиков свалено в кучу от дизайна интерфейсов до архитектуры антифрода. Есть формулировка задачи?
  3. Эрик Олдманн
    Reply
    Эрик Олдманн 6 лет назад
    Подписался на комментарии, всегда была интересна жызнь инвалидов!
  4. Юра Безнос
    Reply
    Юра Безнос 6 лет назад
    Свое пилят с внешними причудами от симантека или гугла для токенов.
  5. Владимир Кольцов
    Reply
    Владимир Кольцов 6 лет назад
    внимательно переписывает, что еще можно ломать ;)
  6. Алексей Романов
    Reply
    Алексей Романов 6 лет назад
    Keycloak?
  7. Антон Герасимов
    Reply
    Антон Герасимов 6 лет назад
    Все очень специфично и те политики что подходят для аккаунта на лепру, не подходят для аккаунта в банк, а то что подходит для просмотра информации о счёте в банке, не подходит для операций над ним и т.д<br><br>Антифрод каждый городит в силу специфики вектора атак и конечно никто не горит желанием об этом рассказывать публично.
  8. Филипп Дельгядо
    Reply
    Филипп Дельгядо 6 лет назад
    Еще в эту же тему всевозможные confirmations (подтверждение отдельных операций sms/паролем). Там тоже свои интересные моменты.
  9. Igor Okunev
    Reply
    Igor Okunev 6 лет назад
    если брать рельсы, то вот ничего так gem - https://github.com/doorkeeper-gem/doorkeeper
Click here to cancel reply.