同個 Email、兩種登入方式 — Node.js + Google 登入整合的四個帳號接管路徑
- 時間
- 14:45 ~ 15:15
- 講者
- Gui 桂
- 位置
- TR311
- 共筆
Intermediate
摘要
對任何同時支援「Email + 密碼註冊」跟「Google 登入」或其他第三方登入的系統來說,會員身分可能的狀態組合會比單一登入方式來得複雜,也容易留下一些漏洞。
本場以一個會員系統(Node.js + Express + TypeScript + MongoDB)為例,拆解四個典型的攻擊手法與對應修補:
- 擋下 Google 自動接管已有密碼的帳號
- Google 登入會員後續該如何安全補上密碼
- 刪帳號前先解除綁定,避免 orphan binding
- Pre-account Hijacking:當帳號還沒建立就被卡位的攻擊路徑
希望能對近期需要整合任何第三方登入的朋友們有一些幫助。
講者
Gui 桂
大家好!我是 Gui 桂,目前是一名網頁開發者。
從高職就讀資處科開始到後來進入職場,深知這個領域需要不斷追求卓越、終身成長,持續往技能更加全面的開發者邁進。
同時不斷參與社群,參與研討會志工與讀書會,也即將擔任網頁課程老師,希望能將過去所學透過社群分享給更多人。
目前在公司參與前後端開發,後端以 Node.js + MongoDB 為主軸,這次透過 COSCUP 分享過去在開發會員系統時,整合 Google 第三方登入的真實案例與相關考量,希望能對大家有幫助。