В этом случае «пользователь», предоставляющий услуги, является Facebook/Google/Instagram/etc. счет. С вашей точки зрения, вам все равно, кто введет учетные данные.
Как правило, все, что вы знаете, это то, что человек, который входит в ваше приложение, знает имя пользователя и пароль для учетной записи. Во внешнем случае проверки вы знаете, что у человека есть этот конкретный логин для fb/google/inst и знает связанный с ним пароль.
Пожалуйста, имейте в виду, что в большинстве случаев (локальная или внешняя проверка) вы не знаете человека, связанного с учетной записью (если у вас нет метода личной проверки, например, кредитной карты или отправки традиционного письма с некоторый auth). Все, что вы знаете, это то, что человек, который вошел в систему, знает свои полномочия.
Технически каждая из этих учетных записей (fb, google, inst) является отдельным «пользователем», а ваш локальный учет учетных данных еще отличается.
Вся концепция - это удобство пользователя, а также некоторые дополнительные преимущества, такие как наличие пользовательских данных, хранящихся и поддерживаемых кем-то другим, дополнительной безопасности и т. Д.
Тем не менее, он по-прежнему совершенно нормально, если вы будете придерживаться метода «местные» мандатной, просто убедитесь, что это безопасно :-)
EDIT:
Простой пример :
У вашего приложения есть два варианта входа - простой логин с паролем и логин с Google. У вас также есть пользователь, Джон Смит.
John открывает ваше приложение, которое требует входа в систему и содержит конфиденциальные данные, связанные с каждой учетной записью.
Сценарий 1. Джон выбирает стандартную «локальную» опцию входа и использует свои учетные данные JohnSmith1111 и пароль 12345. Теперь Джон может отображать данные, связанные с учетной записью JohnSmith1111.
Сценарий 2. Джон выбирает вход в систему с помощью Google. Он перенаправляется на страницу входа, аутентифицируется и возвращается в ваше приложение. Ваше приложение уведомлено о том, что пользователь google_john_smith успешно прошел аутентификацию. Джон теперь может отображать данные, связанные с учетной записью google_john_smith.
Дело в том, что учетная запись, подтвержденная с использованием этих параметров входа, не то же самое! Здесь нет «доверия».
Зачем закрывать? Могу ли я улучшить вопрос? – Jim
«Доверяйте им» в отношении _what_, точно? _ «Все приложение знает, что пользователю доверяют Facebook, поскольку у него есть учетная запись. Как мы можем доверять, что пользователь должен действительно получить доступ к приложению? »_ _you_ решить, достаточно ли иметь учетную запись Facebook для доступа к вашему приложению. – CBroe
Разве вы не получаете уникальный идентификатор этого пользователя от Facebook? Значит, ты знаешь, что это тот же самый человек, когда она вернется на следующий день? Что еще нужно от службы проверки подлинности? – Thilo