Подводные камни интеграции входа через социалки

В основном ВК авторизация. 2-е место ГУГЛ, 3-е Яндекс. У меня на одном сайте так. На других собственная авторизация.

Как это работает в двух словах ?

Пользователь нажимает на войти через ВК к примеру, далее что происходит со стороны сайта ?

Когда-то давно себе делал через loginza, там были и ВК, и ФБ и все остальные. Впринципе, работало, кушать особо не просило. Каких-либо существенных минусов не наблюдалось. Главное - делать это как опцию, а не обязаловку, не все любители подвязывать личные соцсети к сторонним сайтам.

Отправляется запрос ВК на разрешение предоставления данных от пользователя, пользователь разрешает, ВК возвращает требуемые поля: имя, мейл, аватарку и т.д. Не знаю, какие сейчас поля доступны и актуальны. Затем вы берете эти поля и по ним регистрируете пользователя, прописывая его в БД и авторизуя/устанавливая куки и т.д. Все, юзер "зарегистрировался и авторизовался". По сути, разница в том, что пользователю не надо заново везде ручками все вводить, а он одним разрешением позволяет отправить все нужные поля сайту.

 

Перенаправляет в вк с параметрами в урл.  Там если пользователь авторизован, то тебя сразу перенаправляет обратно на сайт с параметрами, по этим параметрам скрипт на сайте должен из вк запросить по api данные пользователя, почту, телефон, имя, еще что-то. Далее если пользователь с указанным емайл уже зарегистрирован на сайте, то его сразу авторизует, если нет, то сначала создается новый пользователь и тоже авторизация после. Но сначала нужно получить ключ api для указанного сайта в соц. сети.

По поводу подводных камней хз, но в некоторых социалках можно вроде регистрироваться только по номеру телефона, а значит  почты не будет.

Не вводите людей в заблуждение, oauth авторизация через соцсети работает не так. Это сложный процесс аутентикации пользователя с использованием токена. Удобная и полезная вещь при грамотной работе с ней.   Смотрю тут даже не знают разницы между авторизацией и аутентикацией

Сайт на вордпрессе, привязан к Джетпак разработчика (плагин такой, вполне кошерный). Ты обидел разработчика, не дал ему денег. Но, обезопасил себя, сменив пароли к хостингу и сайту. Разработчик, через Джетпак, загружает на твой сайт вполне себе легальный плагин "Логинза" и авторизуется на твоем сайте через Вконтакте, как обычный пользователь. Затем разработчик, через Джетпак, дает сам себе права админа сайта... И радостно шепчет: "я мстю и мстя моя страшна" ))

В голос )) Капец сложный, по несколько десятков строчек на пыхе ) Отправить урл, получить ответ, разобрать ответ и внести в базу.
И вход/регистрация ничем, по сути, не отличается, с той лишь разницей, что у тебя либо уже есть этот пользователь в базе, либо ты его в первую авторизацию туда вносишь.

Что-то вы такое сложное предполагаете. Если от разработчика уже есть код, то зачем ему логинза, чтобы залогиниться, чтобы что-то сделать на сайте, если его код уже и так выполняется при работе плагина? ))

С самого начала разработчик вёл себя честно и корректно, никаких бэкдоров. Даже регистрация пользователей отключена по ТЗ. Плагины - только легальные, никакого нулла и самописа. 

Однако, обидчик не знал того, что знал разработчик, - плагины Loginza и Ulogin позволяют регистрироваться через соцсети, даже если регистрация на сайте отключена. С одной стороны, это фича, чтобы заставить пользователей регистрироваться только через соцсети. С другой стороны, это инструмент для поэтапного бэкдора, если есть доступ к аккаунту JetPack.

Хорошо, что разработчик оказался добрый и не зловредил, а просто откатил свои изменения на точку начала разработки. Ну, так мне рассказали какие-то люди ))