Какую авторизацию выбрать Гугл или Фейсбук?

Question

[regix]

Хочу прикрутить авторизацию к приложению на Vue. Столкнулся с трудностями интерграции сего шедевра с привычным Node бэкендом (Passport), поэтому посматриваю на сторону Гугл или Фейсбук.

Приложение ориентировано на Запад.

Какого провайдера вы бы выбрали? Какие минусы у того или иного? У Гугла явный плюс это Firebase. И вообще кажется интеграция Гугла проще?

Comments

[illuzor]

Так через ту же авторизацию файрбейса можно подключить и гугл и фейсбук и другие соцсети

Answer 1

[Денис Загаевский]

А почему "или", если можно сделать авторизацию через оба сервиса?

Answer 2

[Philipp]

Очень часто используют Auth0, он поддерживает много разных сетей. Если есть деньги, то лучше брать его.
Если нет, то используются решения вроде passport.

Comments

[regix]

Auth0 отстой, навязывающий свой Lock. Их не рассматриваю. И у них есть бесплатная версия. Про пасспорт я написал - пробовали его с Vue подружить?

[Philipp]

regix: у меня в проекте passport подружен с websockets и angularjs, нет никаких проблем подружить его с чем угодно. Хоть с VanillaJs :-)

[regix]

Philipp: когда сделано, то проблем конечно нет. Пиписьками мерятся будем?

[Philipp]

regix: нет, мы не будем. Не в том уже возрасте, поди. Лучше расскажите про свои проблемы и почему у вас не получается подружить passport и vue?

[regix]

Philipp: не совсем понимаю архитектуру, как объединить decouple приложения на разных доменах. API отдельно, фронт отдельно. Вот например - Как получить куки из API?

[Philipp]

regix: прочитайте про CORS сначала https://learn.javascript.ru/xhr-crossdomain
Во-вторых для веб-приложений не принято использовать cookie, пользуются сейчас https://jwt.io/

Смотрите, я делал так:
1. Производил авторизацию пользователя через passport в Node.js и открывал привычную для express сессию.
2. Спрашивал фронтэндом через Ajax, есть ли у пользователя авторизация, если она есть, то Node генерирует JWT-токен, который сохраняется фронтом в localStorage.

При выдаче JWT токена, добавляйте какую-нибудь соль, которая будет меняться каждый раз, когда пользователь меняет пароль или нажимает кнопку выйти со всех устройств. Плюс ее можно менять, если подозреваете, что кто-то спер токены или базу.

[regix]

Philipp: спс за советы.

Да, JWT и планирую. Куки пробовал - потому как вообще нету опыта работы с этим и тестирую как вообще происходит взаимодействие между приложениями. Много ньюансов, не просто все.

А сами данные у вас на том же API где произвотися авторизация? Что если база данных на третьем домене? Как этот запрос авторизировать?