Anmelden über OAuth (Github, Google, Facebook)


#2

Facebook ist uns leider weggebrochen (wie man mir sagt, testen kann ich’s leider nicht), weil derjenige, der sich extra dafür bei FB registriert hat dort gesperrt wurde.
Er wurde wohl als Bot-Account abgestempelt, da er direkt in den DEV-Bereich gegangen ist, “ohne einen einzigen Freund”.
Da hat dann nach der Sperre auch weder Telefonnummer, upload von “Foto mit erkennbarem Gesicht” und beidseitigem Scan des Personalausweises geholfen. Und “Anrufen bei einer 0900er” war ihm dann doch zu lästig…

Sprich: Gibt’s hier jemanden, der bei FB aktiv ist und glaubt, einen oauth-key für einen längeren Zeitraum zur Verfügung stellen zu können?


#1

Sowohl für die Erstanmeldung, wie auch für das spätere Anmelden (SignOn) können jetzt diverse OAuth-Provider genutzt werden (Leider kein Openstreetmap, das wäre meine persönliche Präferenz gewese…)

Anyway, zur Erklärung, was es bringt/warum

  • Die normale Anmeldung “email+password” funktioniert weiterhin.
  • Bei Oauth wird vom “anderen Dienstleister” kein Passwort abgefragt oder gar “abgeglichen”, sondern lediglich die Inforation abgefragt “Kennst Du die Person und welche E-mail hat sie bei Dir” (und evtl. noch “welchen Avatar hat sie bei Dir” und “welches Pseudonym/Name kann ich als Vorschlag bei der Erstanmeldung anbieten”.)
  • Das Matching erfolgt also auf Grundlage der Mailadresse, nicht mehr, nicht weniger.
  • Damit ist ein Wechsel zwischen den Methoden jederzeit möglich, identische Mailadresse vorausgesetzt.
  • Wer sich erstmalig registriert per Oauth-Provider hat im freifunkforums-account KEIN Passwort. Das kann später ggf. über “Password-Recovery” gesetzt werden, z.B. falls man seinen FB-Account kündigt etc…
  • Vorteil für die Nutzer sind zwei
    • Einfache Anmeldung, ohne noch ein Passwort im PW-Manager verwalten zu müssen. Eine Stelle weniger zum PW-Ändern später.
    • Beim Forum kann prinzipiell weder ein Passwort abgesfischt werfen, egal ob das PW nun als unsalted hash oder gar im Klartext gespeichert würde, Nutzende brauchen schlicht kein Vertrauen zu haben, da gar keine Passwörter im Forum sind, die verloren gehen könnten. Auch “live-PW-Klau” über Schadcode ist so nicht möglich.

Erstanmeldung (Registrieren)

Wiederholbesuch (Anmelden)


#3

Public Service Announcement aus dem Maschinenraum:
Anmeldung im Forum via Github ist derzeit nicht möglich.