ユーザー認証の手抜き - 方向

Webアプリ作っているといろんな局面でユーザー認証が必要になる局面がある。まじめにつくると果てしなく面倒だし、適当につくるとセキュリティ上問題になるので、要件に応じて適切に手抜きする必要がある。 適当なやつからしっかりしたやつまでなんとなくソートしていくとこんなかんじだと思う。 認証なし IPで弾く Basic認証（ソースコード、設定ファイルにパスワードベタ書き） Basic認証（DBにUserテーブルをつくってパスワードを保存。追加はcliとかで手動） login/logout画面作成。cookieなりmemcacheなりにセッションを保存 webからユーザーを追加できるように password変更機能 OAuth OpenID mailを送ってリンクをクリックさせてメールアドレスの所有確認 メールアドレス変更機能 メールを使ってのパスワードリセット機能 OAuthで作ったアプリへの後か

[yayugu]

書きました

[karasu9113]

そもそも認証が必要か？ユーザーの個体にぶら下がる情報集める必要があるのか。将来的に認証方法に変更は入るか、どの認証方法が適当か、OAuthで拾えないユーザーはどうするか、複数用意することでUXにどう影響するか

[itochan]

タイトルから、ありものの流用話かと思ったら違った

[tmatsuu]

認証方法と、リマインダやパスワード変更などの追加機能は分けたほうがいいと思いました。Digest認証はwebサーバが複数あると問題が出がちなので使いにくいです。

[msykt]

w“日曜深夜にこんな長文書くハメになるのでOAuthがどうとか認証とか認可とかの議論やめたい。”

[USuck]

こういうの、みんなスマートに実装しちゃうんだろうなめんどくさいって思うのは自分のスキルが足りないからだろな、と思ってた。なんか安心した。しちゃだめか。