+- PHP Rocks (https://www.php-rocks.de)
+-- Forum: Board Gebrabbel (https://www.php-rocks.de/https://www.php-rocks.de/forum/22-board-gebrabbel.html)
+--- Forum: Off Topic (https://www.php-rocks.de/https://www.php-rocks.de/forum/26-off-topic.html)
+--- Thema: OAuth - Should I "scramble" user id? (/https://www.php-rocks.de/thema/387-oauth-should-i-scramble-user-id-.html)
OAuth - Should I "scramble" user id? - Till - 05.01.2020
Hallo,
ich habe einen OAuth2 Server (und bin so froh das er nun endlich läuft), meine Frage ist nun:
Ich habe 2 Möglichkeiten an den client(client app) die user ID auszuliefern (ich habe bisher beide implementiert):
- 1) Die "echte" User-ID wird ausgeliefert (so machen es google, facebook, und die meisten "großen")
- 2) Für jede Client-App wird für jeden User eine eigene, individuelle User-ID assoziiert (so macht es z.B. Xing)
- 3) Ich biete beide Scope-Modelle (dem Enduser? der App?) zur Auswahl an
Die Vor- und Nachteile liegen auf der Hand:
- 1) Vorteil: Ich kann (wenn ich z.B. mehrere Apps habe) den Benutzer eindeutig zuordnen, auch über verschiedene Anwendungen hinweg,
also die Daten können auch außerhalb der App Verwendung finden.
Nachteil: Datenschutz
- 2) Vorteil: Datenschutz für den Endbenutzer
Nachteil: Eine eindeutige Zuordnung über Anwendungen hinweg ist nicht möglich
Ich muß die User-ID/App- Zuordnungen über die Datenbank tracken (overhead?)
- 3) Vorteil: Das Privacy-Modell kann frei gewählt werden
Nachteil: Die Client App muß unter Umständen beide Anwendungsfälle implementieren (mehr Arbeit) oder kann halt nur eines benutzen
Einen Endbenutzer könnte so eine Auswahl zwischen 2 "Modellen" überfordern oder abschrecken.
Und: Macht das eine überhaupt noch Sinn, wenn ich gleichzeitig das andere anbiete?
Wie ist Eure Meinung dazu?
Bisher sieht meine Implementation (server) vor, daß bei Möglichkeit 2 auch Daten wie Realname und E-Mail Adresse verborgen werden (das macht Xing z.B. nicht),
bestimmte Anwendungsfälle werden so ausgeschlossen.
Viele Grüße
Till