Deployd: Jak wdrożyć dpd-paszport i bezpiecznie uwierzytelnić

Question

Pozwól mi zacząć od stwierdzenia, że ​​naprawdę podoba mi się Deployd. Chcę go używać w produkcji, ale chcę włączyć OAuth i loginy społecznościowe, więc zainstalowałem moduł dpd-passport. Działa świetnie, z wyjątkiem dwóch małych (duże) problemy:

1. Kiedy użytkownik loguje się za pośrednictwem operatora OAuth (np Facebook, Twitter, Github) nowy rekord użytkownik jest tworzony ... ale jeśli ten sam użytkownik usuwa pliki cookie lub używa innej przeglądarki do logowania, tworzony jest nowy rekord użytkownika.
2. Jeśli robię coś mądrego (czytaj: hacky) i przypisać użytkownikom logowania społecznych identyfikator oparciu o socialAccount i socialAccountId (czymś wyjątkowym, ale stała dla każdego konta społecznej), ktoś może użyć standardowego sposobu tworzenia użytkownika w celu podszycia się użytkownik, wysyłając żądanie POST do punktu końcowego /users, jeśli znał jego konto społecznościowe i identyfikator SocialAccountId.

Moje pytanie brzmi: Jak mogę A) # 1 zapobiec występowaniu, lub b) wyłączyć standardową metodę tworzenia użytkownika bez także zapobiegając tworzeniu użytkownika OAuth?

Czy ktoś kiedykolwiek z powodzeniem użył Deployd i dpd-passport w produkcji? Jeśli tak, chcę z Tobą porozmawiać ...

Z góry dziękuję!

Answer 1

Po pierwsze, myślę, że nie dodałeś niestandardowych pól dla dokumentów. https://www.npmjs.com/package/dpd-passport#requirements

Nie miałem również i obserwowałem nową funkcję użytkownika (ponieważ nie mogła ona wyszukać odpowiedzi z usługi auth, aby znaleźć użytkownika przedtem). Dodanie tych pól naprawiło to.

Ponadto, istnieje grupa google tutaj: https://groups.google.com/forum/#!forum/deployd-users

nadzieję, że pomoże.