fmfi-svt / eprihlaska

ePrihlaska
https://prihlaska.fmph.uniba.sk
0 stars 1 forks source link

Odhlasovanie google / facebook #125

Open tvinar opened 6 years ago

tvinar commented 6 years ago

Pri prihlaseni cez google a facebook tlacitko odhlasenie len zrusi aktualnu session, no nepresmeruje na odhlasenie z prislusnej sluzby (co znamena, ze ak stlacim znovu tlacitko "Prihlasit cez Google", tak mi jednoducho nabehne uz prihlasena stranka a tiez pripadne ostatne sluzby ostanu potichu prihlasene). Sposobuje to problem na verejnych pocitacoch, ked si user mysli ze sa odhlasil ale ono v skutocnosti nie.

mrshu commented 6 years ago

Ak tomu spravne chapem, tak v principe ide o to, ze ked sa clovek odhlasi z ePrihlasky, je tu iste ocakavanie, ze sa odhlasi aj zo sluzby, ktora bola pouzita na prihlasenie.

Toto vsak trochu naraza ako na realitu, tak aj na filozofiu OAuth autorizacie. Ta v principe iba bezpecnym sposobom ponuka odpoved na takuto otazku: Vie sa pouzivatel uspesne prihlasit u vas (teda Google/FB loginom)? Ak ano, dajte nam to vediet a my tohto pouzivatela prihlasime aj u nas. Ak je uz pouzivatel prihlaseny, nema asi uplne zmysel ukazovat mu znova login screen -- uz predsa je (na Google/FB) raz prihlaseny.

Po tom, ako toto prebehne sa pouzivatel moze kludne z Google/FB odhlasit -- ePrihlaska uz ma informaciu o tom, ze sa tam naozaj prihlasit dokaze. Prepojit odhlasenie z ePrihlasky s odhlasovanim pouzivatela z inej sluzby dava asi zmysel pri verejnych pocitacoch, ale pre ludi, ktori sa prihlasili z prehliadaca v ktorom tieto sluzby dlhodobejsie aktivne pouzivaju (i.e. napriklad GMail/Google Docs alebo Facebook) by to zrejme predstavovalo zasadne narusenie ich workflow.

Kompromisom v tomto pripade sa mi zda moznost pridat odhlasovaci link (ako je popisane napr. tu pre Google) pre jednotlive sluzby, ktory by sa ukazal po odhlaseni z ePrihlasky.

tvinar commented 6 years ago

Presne ako vravis.

Problemom je hlavne to, ze bezny clovek nevyznava/nepozna filozofiu OAuth autorizacie, ale ocakava, ze tlacitko "odhlasit" ho odhlasi ;) Riesenie zobrazit po odhlaseni z aplikacie aj link "Odhlasit aj zo vsetkych sluzieb Google" je fajn.

--

Tomas Vinar, Associate Professor Associate Dean for Information Technologies Department of Applied Informatics Faculty of Mathematics, Physics, and Informatics Comenius University, Bratislava E-mail: tomas.vinar@fmph.uniba.sk Office: M163 Work Phone: +421-2-60295207

2018-02-07 12:44 GMT+01:00 Marek Šuppa notifications@github.com:

Ak tomu spravne chapem, tak v principe ide o to, ze ked sa clovek odhlasi z ePrihlasky, je tu iste ocakavanie, ze sa odhlasi aj zo sluzby, ktora bola pouzita na prihlasenie.

Toto vsak trochu naraza ako na realitu, tak aj na filozofiu OAuth autorizacie. Ta v principe iba bezpecnym sposobom ponuka odpoved na takuto otazku: Vie sa pouzivatel uspesne prihlasit u vas (teda Google/FB loginom)? Ak ano, dajte nam to vediet a my tohto pouzivatela prihlasime aj u nas. Ak je uz pouzivatel prihlaseny, nema asi uplne zmysel ukazovat mu znova login screen -- uz predsa je raz prihlaseny.

Po tom, ako toto prebehne sa pouzivatel moze kludne z Google/FB odhlasit -- ePrihlaska uz ma informaciu o tom, ze sa tam naozaj prihlasit dokaze. Prepojit odhlasenie z ePrihlasky s odhlasovanim pouzivatela z inej sluzby dava asi zmysel pri verejnych pocitacoch, ale pre ludi, ktori sa prihlasili z prehliadaca v ktorom tieto sluzby dlhodobejsie aktivne pouzivaju (i.e. napriklad GMail/Google Docs alebo Facebook) by to zrejme predstavovalo zasadne narusenie ich workflow.

Kompromisom v tomto pripade sa mi zda moznost pridat odhlasovaci link (ako je popisane napr. tu https://stackoverflow.com/questions/12909332/how-to-logout-of-an-application-where-i-used-oauth2-to-login-with-google pre Google) pre jednotlive sluzby, ktory by sa ukazal po odhlaseni z ePrihlasky.

— You are receiving this because you authored the thread. Reply to this email directly, view it on GitHub https://github.com/fmfi-svt/eprihlaska/issues/125#issuecomment-363744476, or mute the thread https://github.com/notifications/unsubscribe-auth/ACvVY7iqsEBEoCkv1YIeeXq4xQlroCIcks5tSYy6gaJpZM4R8d7E .

mrshu commented 6 years ago

Ok.

Nemam stale celkom jasno v tom, ako presne sa odhlasit z Facebooku, ale tu je k tomu nejake info: https://stackoverflow.com/questions/2764436/facebook-oauth-logout/9799430#9799430