我应该如何使用自己的身份验证系统存储 OAuth？

Question

我有一个现有的注册/登录系统：用户输入电子邮件和密码。密码经过哈希处理。我将它存储在数据库中。

当用户登录时，他们会填写完整的电子邮件和密码。密码经过哈希处理，我在数据库中查找电子邮件并检查电子邮件是否匹配。如果是，则他们已登录。

我想添加一个系统，让用户使用 GitHub 等 3rd 方 OAuth 登录。我有那个设置，但我不确定要在我的数据库中存储哪些数据。

我在想我将他们的 GitHub 电子邮件作为电子邮件，然后使用他们 GitHub 的访问令牌作为密码（所以我会对其进行哈希处理并存储它。）

我认为这可行，但我担心访问令牌可能会改变，这意味着他们将被锁定在他们的帐户之外。

如果我不应该使用访问令牌作为密码，我应该使用什么？我需要将用户的电子邮件存储在我的数据库中，但目前需要密码，如果他们使用 GitHub 登录，我无法获得。

（请注意，当用户登录时，我会调用我的后端来生成访问令牌 (JWT)，我可以使用它来获取他们的用户详细信息，然后将其存储在本地存储中。我希望能够用 GitHub 或其他东西做同样的事情。）

Answer 1

oAuth通常用于授权。这意味着，您从授权服务器获得访问令牌，资源服务器对其进行验证并让用户访问数据。

在您的情况下，您“并不真正需要”访问令牌 - 您只想将 oAuth 用于身份验证。 Web 应用程序（如 StackOverflow）这样做是为了“省去处理身份验证流程的麻烦”。意思是，如果我编写一个安全的应用程序，我需要以某种方式实现创建帐户流程、登录流程、忘记密码等。当您使用 3rd-party 身份验证时，您可以省去这个麻烦。

但是，您的应用程序确实需要一些用户 ID 来执行操作；因此，当用户第一次出现时，您必须在您的应用程序中创建一个用户 ID。从那时起，您无需担心密码过期、忘记密码甚至无法登录。当用户登录时，您将获得访问令牌，您需要做的就是从中获取您应用的用户 ID。

因此，我看不出您需要存储“密码”或访问令牌的原因。

希望这是有道理的。

Answer 2

您正在寻找的实际上是 OpenID Connect - 它是一个构建在 OAuth 之上的身份验证框架，可让您使用外部身份提供程序（如 Github）登录用户。

当用户使用 GitHub 登录时，您将收到一个签名 JWT 形式的 id_token。您可以轻松验证 JWT 的真实性 - 因此您可以轻松确保 id 令牌确实来自 Github 并呈现真实数据。通常 id 令牌中的信息之一将是用户的电子邮件。您可以使用它在数据库中查找用户。在这种情况下，您不需要任何密码。

因此，您将有两种方法在数据库中查找用户 - 通过比较电子邮件和密码，或者通过从 Github 验证的 id 令牌查找用户的电子邮件。