Replies: 1 comment 2 replies
-
|
建议把皮肤站作为 OAuth 服务端,你自己的其他站点也通过皮肤站的 OAuth 进行认证。 |
Beta Was this translation helpful? Give feedback.
-
目前我通过魔改oauth2在bs上的处理过程做出了临时的解决方案 即,在注册新用户时,如果后端传入了初始密码的密文,那么使用这段初始密码作为用户的密码,然后指引用户通过正常途径来修改自己的密码,以此来绕开yggdrasil没有密码的问题 不过当前的初始密码是固定的,虽然有一定的安全问题,但是我想暂时用用问题不大,但是将来必然需要得到解决 对于初始密码,我想知道你有什么好的建议或者想法吗? |
Beta Was this translation helpful? Give feedback.
-
|
可以考虑编写插件,要求用户在第一次登录时设定密码。除此之外任何方案我都不会考虑。 但是这么做仍然会导致用户体验问题,因为本质上你的其他网站和皮肤站的账户系统是分开的,用户在你的其他网站更改了密码,并不会同步更改皮肤站这边的密码,反之亦然,可能导致用户在 Yggdrasil 登录或者你的其他网站登录时产生「我明明输对了密码但是提示密码错误」的困扰。 要解决这个问题,最好的方案是直接消灭掉你的其他网站或者皮肤站其中之一的密码登录。考虑到皮肤站有承载 Yggdrasil 验证的需求,我觉得应该砍掉你自己的网站的密码登录,统一使用皮肤站的 OAuth 来登录。 |
Beta Was this translation helpful? Give feedback.
-
我计划使用oauth2对接我其他的站点,并自行为此开发插件来实现这一点
在标准的oauth2使用场景中,客户端站点(此处应指代皮肤站,下同)向服务端拿到token获取部分的访问权限即可完成登录,此后用户再次在客户端登录时也只需要在服务端完成授权即可,全程不需要在乎客户端站点的账户以及密码的问题
但是在皮肤站上,由于yggdrasil的出现改变了这一点,mc使用yggdrasil外置登录需要到客户端站点的密码
那么bs对于oauth登录的账户的初始密码,会产生什么样的行为呢?毕竟oauth本身并不会交换密码
并且我看到有一些现成的插件可以和某些论坛的账户密码对接,所以我也在思考是否有比较优雅的方式实现同时使用oauth和yggdrasil,而不是为了yggdrasil被迫去完成一次重置密码的步骤
和常规的oauth2方案相比,毕竟数据库都在自己手上,或许也可以通过一些非常规的方案来辅助实现某些功能(例如直接操作数据库来跨站同步某些数据)
但是密码想要通过这种非常规方案同步似乎也不太合适,毕竟密码不能(也不合适)明文存储,两边的加密方式也并不相同
以上是我目前的想法,希望可以和大家一起讨论,谢谢
Beta Was this translation helpful? Give feedback.
All reactions