Знаете дельные обзоры/статьи по авторизации/аутентификации пользователей в массовых проектах?



Чат, а знаете какие-нибудь дельные обзоры/статьи по авторизации/аутентификации пользователей в массовых проектах? Когда всё время одни ломают-долбят, а другие постоянно забывают пароли и теряют контроль над своей почтой, куда ты отправляешь автоматически авторизующие ссылки на свой сервис. Поиск балланса между безопасностью и UX; на поле, в котором продакт/дизайнер обычно не понимает вообще ничего. Короче весь регистрационный/аутентификационный флоу (с учетом мобильного трафика, «без емейлов»), антибот-защита, базы доменов для временных емейлов, защита от перехвата сессий, политики протухания авторизующих ссылок, логика отслеживания «подозрительных» аутентификаций (новое устройство, новое географическое место), двух-факторная аутентификация, подтверждение через auth app/sms/missed calls, особенности oauth, SSO (если ещё кто-то это делает, привет я.ру/яндекс.ру) - вот это всё. Тем просто море, а толковых обзоров мне не попадалось.

46   9  
  1. Сергей Аксёнов год назад
    SSO делают по-моему все B2B-сервисы для технологических компаний. (на самом деле подписываюсь на комменты)
  2. Алексей Трошичев год назад
    >Тем просто море, а толковых обзоров мне не попадалось.

    одна из причин такого положения вещей в том, что компаний, которые дорастают до размера, когда это становится реально проблемой - единицы. И у каждого своя специфика, свои риски и поэтому различаются подходы.

    В посте огромное количество топиков свалено в кучу от дизайна интерфейсов до архитектуры антифрода. Есть формулировка задачи?
  3. Эрик Олдманн год назад
    Подписался на комментарии, всегда была интересна жызнь инвалидов!
  4. Юра Безнос год назад
    Свое пилят с внешними причудами от симантека или гугла для токенов.
  5. Владимир Кольцов год назад
    внимательно переписывает, что еще можно ломать ;)
  6. Алексей Романов год назад
    Keycloak?
  7. Антон Герасимов год назад
    Все очень специфично и те политики что подходят для аккаунта на лепру, не подходят для аккаунта в банк, а то что подходит для просмотра информации о счёте в банке, не подходит для операций над ним и т.д

    Антифрод каждый городит в силу специфики вектора атак и конечно никто не горит желанием об этом рассказывать публично.
  8. Филипп Дельгядо год назад
    Еще в эту же тему всевозможные confirmations (подтверждение отдельных операций sms/паролем). Там тоже свои интересные моменты.
  9. Igor Okunev год назад
    если брать рельсы, то вот ничего так gem - https://github.com/doorkeeper-gem/doorkeeper

Добавить ответ:
Отменить.