ユーザーが MVC 4 アプリケーションで OAuth/OpenID プロバイダーなどを介して外部ログインを使用できるようにすることが理にかなっているかどうかを検討しています。
外部ログインを許可すると、標準の FormsAuthentication などよりもアプリケーションの安全性が高くなりますか? 一部のアカウントには現金価値が関連付けられているため、セキュリティは最も重要です (ユーザーは自分のアカウントにお金を入金できます)。
セキュリティへの影響が特に心配ですが、考慮に入れる必要があるその他の考慮事項についても知りたいです。
私の専門的な経験から、ファクターセキュリティは、使用されているプログラミング言語/テクノロジーだけに関連しているわけではありません. あなたの場合(MVC 4およびMicrosoftの「世界」)では、すでにいくつかのオプションが提供されています。しかし、最終的には、「防弾効果」は「アプリケーション アーキテクチャ」と開発者/プログラマによって行われます。
あなたが参照するような認証プロバイダーには多くの利点がありますが、同時に「知識の灰色の領域」と「制御」を提供します。「チェーンはその最も弱いリンクと同じくらい強力です」。これは、コードの非常に重要な部分を「他のエンティティ」に委譲している場合、コードがどれほど優れているかは問題ではないことを意味します (さらに彼らのコード/データベース/クラッキングの容易さなどがどれほど優れているかわからず、それについては何もできません)。
私はここで、OAuth/OpenID/その他について悪いことも良いことも言いません。最終的にあなたがすべき質問は、「Web サイトにどの程度安全な情報を保存していますか?」ということです。
それが銀行のウェブサイトである場合、この分野で「機能」するために入金および検証する必要があるハードおよびセキュリティプロトコルとエンティティを確認してください。Visa/mastercard/その他のネットワーク プロバイダーは、単なる「2 人の地下企業」ではありません。また、背後には保険会社もあり、両当事者にセキュリティを提供しようとする大規模な契約もあります。
したがって、あなたの場合、Web サイトに何を保存しているのかを判断できるのはあなただけですが、他に質問する必要があるのは、このすべての情報をどこに保存しているのかということです。共有ホスティング / 物理的に手の届かないホスト会社ですか? バックアップはどうですか?等...
実際のお金について話している場合、考慮すべき多くの側面があり、自分ができる/余裕のあることを測定し、最善を尽くして決定し、悪いことが決して起こらないことを望むことができるのはあなただけです:)
頑張ってください:)