COSCUP x UbuCon Asia 2026 標誌
  • 關於我們
  • 議程
  • 交通
  • 贊助夥伴
    • 參與指南
    • 第一次參與
    • 活動參與
    • 講者參與
    • 前夜派對
    • 海外參與者
    • 開源社群、攤位及議程軌
    • 贊助夥伴
    • 邀請函申請指南
  • 周邊活動 / BoF
  • 部落格
  • 社群守則
English

同個 Email、兩種登入方式 — Node.js + Google 登入整合的四個帳號接管路徑

時間
14:45 ~ 15:15
講者
Gui 桂
位置
TR311
共筆
Intermediate

摘要

對任何同時支援「Email + 密碼註冊」跟「Google 登入」或其他第三方登入的系統來說,會員身分可能的狀態組合會比單一登入方式來得複雜,也容易留下一些漏洞。

本場以一個會員系統(Node.js + Express + TypeScript + MongoDB)為例,拆解四個典型的攻擊手法與對應修補:

  1. 擋下 Google 自動接管已有密碼的帳號
  2. Google 登入會員後續該如何安全補上密碼
  3. 刪帳號前先解除綁定,避免 orphan binding
  4. Pre-account Hijacking:當帳號還沒建立就被卡位的攻擊路徑

希望能對近期需要整合任何第三方登入的朋友們有一些幫助。

講者

Gui 桂

Gui 桂

大家好!我是 Gui 桂,目前是一名網頁開發者。

從高職就讀資處科開始到後來進入職場,深知這個領域需要不斷追求卓越、終身成長,持續往技能更加全面的開發者邁進。

同時不斷參與社群,參與研討會志工與讀書會,也即將擔任網頁課程老師,希望能將過去所學透過社群分享給更多人。

目前在公司參與前後端開發,後端以 Node.js + MongoDB 為主軸,這次透過 COSCUP 分享過去在開發會員系統時,整合 Google 第三方登入的真實案例與相關考量,希望能對大家有幫助。

黃金級

連續贊助2 年中華民國資訊經理人協會連續贊助2 年國泰金融控股公司連續贊助5 年玉山銀行

青銅級

華娛網路娛樂股份有限公司ONLYOFFICEQNAP Systems, Inc. 威聯通科技

好朋友級

連續贊助3 年晶心科技股份有限公司

特別感謝

臺北市資訊局美商賽發馥股份有限公司臺灣分公司

COSCUP x UbuCon Asia 2026

Conference for Open Source Coders, Users, and Promoters | 亞洲最大開源年會,由社群自發舉辦。

聯絡我們

  • 會眾服務
  • 贊助合作
  • 議程投稿
  • 行銷方案

相關資源

  • COSCUP 部落格
  • 訂閱電子報
  • 活動照片

網站導覽

  • 首頁
  • 關於我們
  • 交通資訊
  • 贊助夥伴
20062007200820092010201120122013201420152016201720182019202020212022202320242025