外部登录的安全性

　　Oauthhe 和OpenID简化了安全性编码，但他们也给应用程序引入了其他潜在的攻击媒介。如果一个提供其网站被破坏，或者网站之间的安全通信遭到破坏，攻击者可能会暗中破坏我们网站的登录，或者捕获用户信息。因此，当使用验证时，必须重视安全性问题。尽管我们使用外部服务进行身份验证，但是网站安全问题仍然是我们应该负起的责任。

　　通常使用知名提供器，只支持我们信任的提供器，这一点很重要。下面是两个主要原因：

　　第一，当我们把用户重定向到外部站点时，我们需要确保这些站点不是恶意的，没有安全问题的网站，因为这样的站点可能会泄露或误用用户登录数据或其他信息。

　　第二，身份验证提供器向我们提供用户的信息，这些信息不仅仅是用户的注册状态，还有e-mail地址和其它潜在的具体信息。如果这些信息是不正确的，我们就会验证错误的人，或者使用错误的用户信息。

　　在登录网站旗舰执行HTTPS会导致对外部提供器的所有调用都在HTTPS上传输。这反过来导致提供器使用HTTPS回调到我们网站。

　　此外，Google验证和HTTPS一起使用是很重要的。Google会通过HTTP报告一个登录进来的用户而后对于两个不同的用户，会通过HTTPS报告。要求使用HTTPS就会避免这一问题的发生。