我正在使用facebook JS sdk登录用户。这些是我遵循的步骤: -
1)我使用FB.login(...)
来获取用户的详细信息。
2)现在,从Facebook收到资料后,我送使用jQuery的$.post(..)
功能的PHP页面POST请求说FBUser.php
与参数 - name
,uid
(Facebook的用户ID),email
和access_token
为publish_actions
。
3)现在在FBUser.php
页面中,我会执行所有这些操作,例如将短寿命令牌转换为长寿命,然后检查收到的uid
是否存在于我的users
表中。如果不是,我创建一个新用户,否则我登录旧用户。
今天,我刚刚意识到我做出了如此大的安全性妥协,因为任何人都可以通过现有用户的uid
发送POST请求到FBUser.php
页面并访问他的帐户。但另一方面,我相信一些大的网站也使用JS SDK。很显然,我错了某个地方。如何安全地登录用户并防止他的帐户被黑客入侵?Facebook JS SDK的安全问题
1
A
回答
1
你应该首先满足应用和用户ID,那么你应该检查访问令牌,就像这样: graph.facebook.com/debug_token?input_token={token-to-check}&access_token={app-token}
+0
我想说你从@ CBroe的评论应对了答案,但是你给的链接帮助了我所以... + 1 – khandelwaldeval
1
应用令牌你可以得到的的UID用户使用发送给您的访问令牌,通过使用此令牌访问Facebook图形并查询“/ me”。 您不应该在客户端发送的uid上进行中继。我的应用程序只接收访问令牌,并从服务器到服务器的调用中获取其余数据。
相关问题
- 1. Facebook的iOS安全问题
- 2. JS SDK apprequest安全
- 3. Facebook的Javascript SDK的安全
- 4. JS eval安全问题
- 5. /js/mage - 安全问题?
- 6. Facebook连接FB.getLoginStatus问题〜JS SDK
- 7. facebook javascript sdk问题
- 8. Facebook sdk问题
- 9. Facebook SDK问题
- 10. Facebook登录安全(Javascript SDK)
- 11. 阅读JS数组的安全问题?
- 12. Facebook JS SDK:纯文本和安全性的access_token
- 13. 安全/非安全浏览问题
- 14. facebook-ios-SDK问题
- 15. Facebook Android SDK:问题
- 16. Facebook Android SDK问题
- 17. Facebook v2.5 SDK问题?
- 18. Android - facebook sdk问题
- 19. yammer js sdk问题
- 20. Facebook Javascript SDK执行问题
- 21. Facebook登录问题(PHP SDK 3.1.1 +最新JS SDK)
- 22. Facebook的:PHP的SDK问题
- 23. Facebook JS SDK,不安全从客户端传递用户ID?
- 24. facebook连接iphone - 安全问题
- 25. Facebook应用程序安全问题
- 26. 的Facebook SDK 3.1.1 ACCESS_TOKEN问题
- 27. 面对Facebook SDK的问题
- 28. 旧Facebook SDK的问题
- 29. 问题在Facebook的IOS-SDK
- 30. 关于facebook SDK的问题
https://developers.facebook.com/docs/facebook-login/login-flow-for-web/v2.3#confirm – CBroe
@CBroe,感谢您给予链接。没有去那个部分 – khandelwaldeval