Аутентификация через социальные сети
Автор Shiperty задал вопрос в разделе PHP
Безопасна ли авторизация через соц сети на сторонних сайтах? и получил лучший ответ
Ответ от Дельфийский[гуру]
Достаточно безопасна. Аутентификация происходит на стороне соцсети, а сайт лишь получает необходимые данные об успешности аутентификации. Хотя выманить пароль все же можно, но это уже ближе к социнженерии, а не программному взлому.
Дельфийский
(95003)
Пароль не используется напрямую. Отправляется запрос на сервер соцсети и если ты залогинен, то возвращается некий набор параметров, подтверждающий, что ты есть ты. Тем не менее, сэмулировать запрос пароля от сайта соцсети вполне можно, перехватив при этом твой пароль. Обычно браузеры идентифицируют такие сайты как мошеннические, если соответствующие расширения антифишинга не были отключены.
Нет. Там доступ осуществляется не через пароль, а через ключ аутентификации.
Если там схема типа OAuth - то пароль вытянуть не сможет. Сайт попросит у соцсети токен, а на странице соцсети ты сам сможешь согласиться, предоставлять ли или нет. И обычно там же соцсеть и напишет, какой именно доступ потребует сайт. По токену через API он сможет получить о тебе только ту инфу, на которую ты согласился.
сайт авторизируется в соц сети по протоколу OAuth при помощи токена, который сайт получает от соц сети
Что мешает сделать фейковую кнопку авторизации?
попросить пользователя ввести пароль от ВК - фейк.
раз уж речь зашла об oauth, подскажите, токены всегда устаревают или зависит от соцсети? и какие параметры передаются для получения рефреш-токена? читал документацию в твиттере и недопонял изложенное