05.01.2020, 04:55
Hallo,
ich habe einen OAuth2 Server (und bin so froh das er nun endlich läuft), meine Frage ist nun:
Ich habe 2 Möglichkeiten an den client(client app) die user ID auszuliefern (ich habe bisher beide implementiert):
- 1) Die "echte" User-ID wird ausgeliefert (so machen es google, facebook, und die meisten "großen")
- 2) Für jede Client-App wird für jeden User eine eigene, individuelle User-ID assoziiert (so macht es z.B. Xing)
- 3) Ich biete beide Scope-Modelle (dem Enduser? der App?) zur Auswahl an
Die Vor- und Nachteile liegen auf der Hand:
- 1) Vorteil: Ich kann (wenn ich z.B. mehrere Apps habe) den Benutzer eindeutig zuordnen, auch über verschiedene Anwendungen hinweg,
also die Daten können auch außerhalb der App Verwendung finden.
Nachteil: Datenschutz
- 2) Vorteil: Datenschutz für den Endbenutzer
Nachteil: Eine eindeutige Zuordnung über Anwendungen hinweg ist nicht möglich
Ich muß die User-ID/App- Zuordnungen über die Datenbank tracken (overhead?)
- 3) Vorteil: Das Privacy-Modell kann frei gewählt werden
Nachteil: Die Client App muß unter Umständen beide Anwendungsfälle implementieren (mehr Arbeit) oder kann halt nur eines benutzen
Einen Endbenutzer könnte so eine Auswahl zwischen 2 "Modellen" überfordern oder abschrecken.
Und: Macht das eine überhaupt noch Sinn, wenn ich gleichzeitig das andere anbiete?
Wie ist Eure Meinung dazu?
Bisher sieht meine Implementation (server) vor, daß bei Möglichkeit 2 auch Daten wie Realname und E-Mail Adresse verborgen werden (das macht Xing z.B. nicht),
bestimmte Anwendungsfälle werden so ausgeschlossen.
Viele Grüße
Till
ich habe einen OAuth2 Server (und bin so froh das er nun endlich läuft), meine Frage ist nun:
Ich habe 2 Möglichkeiten an den client(client app) die user ID auszuliefern (ich habe bisher beide implementiert):
- 1) Die "echte" User-ID wird ausgeliefert (so machen es google, facebook, und die meisten "großen")
- 2) Für jede Client-App wird für jeden User eine eigene, individuelle User-ID assoziiert (so macht es z.B. Xing)
- 3) Ich biete beide Scope-Modelle (dem Enduser? der App?) zur Auswahl an
Die Vor- und Nachteile liegen auf der Hand:
- 1) Vorteil: Ich kann (wenn ich z.B. mehrere Apps habe) den Benutzer eindeutig zuordnen, auch über verschiedene Anwendungen hinweg,
also die Daten können auch außerhalb der App Verwendung finden.
Nachteil: Datenschutz
- 2) Vorteil: Datenschutz für den Endbenutzer
Nachteil: Eine eindeutige Zuordnung über Anwendungen hinweg ist nicht möglich
Ich muß die User-ID/App- Zuordnungen über die Datenbank tracken (overhead?)
- 3) Vorteil: Das Privacy-Modell kann frei gewählt werden
Nachteil: Die Client App muß unter Umständen beide Anwendungsfälle implementieren (mehr Arbeit) oder kann halt nur eines benutzen
Einen Endbenutzer könnte so eine Auswahl zwischen 2 "Modellen" überfordern oder abschrecken.
Und: Macht das eine überhaupt noch Sinn, wenn ich gleichzeitig das andere anbiete?
Wie ist Eure Meinung dazu?
Bisher sieht meine Implementation (server) vor, daß bei Möglichkeit 2 auch Daten wie Realname und E-Mail Adresse verborgen werden (das macht Xing z.B. nicht),
bestimmte Anwendungsfälle werden so ausgeschlossen.
Viele Grüße
Till