Это естественно. uLogin мне понравился, лаконично.
Но, как понял, сервис — это конструктор, для виджета, и для каждого сервиса нужно дописывать интеграцию со своей системой.
В этом варианте выше упомянутая http://loginza.ru/ отличается удобством внедрения:
Она является прослойкой между API крупных почтовиков/соц.сетей и конечным ресурсов, на котором уже производится интеграция только с одним API.
Есть конечно риски, поскольку мы складываем все яйца в одну корзину: ляжет loginza, и аутентификация из соц.сетей будет недоступна… Но то, что этот проект купил яндекс дает какие-то гарантии.
Писать под api каждого сервиса — это, пардон, тот еще геморой.
Я поэтому и спросил про loginza (альтернатив не искал еще): смысл этого коллектора в том, что он не только агрегирует в своем виджете аутентификацию через популярные ресурсы(получается, я буду использовать только одно API, а не кучу разных), но и позволят регистрироваться пользователям, для них это выглядит как регистрация на конечном ресурсе в виджете.
Пользователи получают openId, с которым можно аутентифицироваться на других ресурсах, а база с аутентификационными данными хранится у сервиса.
По крайней мере, я так понял смысл работы сервиса.
Но, пожалуй, реализация своей системы аутентификации лишней не будет.
Спасибо за ссылку. Я думал о сессиях, но не вникал в особенности их работы с точки зрения безопасности. Искал решение в области криптографии. Но сейчас, взглянув на них(сессии) более подробно, понял что Вы правы.
А как Вы относитесь к возможности аутентификации через коллектор учетных записей, например loginza?
Фреймворки это хорошее решение, я на самом деле бы с радостью их использовал (работал с CodeIgniter), но в рамках текущей задачи их использование не представляется возможным.
Я думал попробовать реализовать решение, описанное: здесь или здесь и прикрутить уже какой-нибудь виджет для авторизации через соц.сети/почтовики. Но моих знаний в области криптографии не хватает.
Собственно цель — создание удобной и относительно безопасной системы регистрации и аутентификации пользователей.
Реализовать простую систему с хешем можно быстро, но вопрос в другом:
сервис, который специализируется на хранении пользовательских данных, не сделает ли это лучше меня?
Но, как понял, сервис — это конструктор, для виджета, и для каждого сервиса нужно дописывать интеграцию со своей системой.
В этом варианте выше упомянутая http://loginza.ru/ отличается удобством внедрения:
Она является прослойкой между API крупных почтовиков/соц.сетей и конечным ресурсов, на котором уже производится интеграция только с одним API.
Есть конечно риски, поскольку мы складываем все яйца в одну корзину: ляжет loginza, и аутентификация из соц.сетей будет недоступна… Но то, что этот проект купил яндекс дает какие-то гарантии.