我创建了一个Facebook App ID,并将网站URL设置为“localhost”,以便在通过客户端JavaScript进行身份验证后,我在开发应用程序时将其重定向到本地计算机。如果有人“偷走”了我的Facebook应用程序ID,他们会受到什么样的损害?
我很想知道这个设置是否有任何风险,具体来说,如果我的App ID被盗,会发生什么。看起来最糟糕的情况是,其他人可能会使用我的App ID与他们自己的本地托管应用程序,并导致我的应用程序超过其Graph API使用配额等。是否还有其他风险?
你不应该担心。
Facebook应用程序ID可以很容易地从任何使用Facebook JS SDK的站点检索。
你应该担心什么 - 是您app secret key
通常情况下,“网站网址”限制会阻止其他人使用它。但在这种情况下,该网站的网址是localhost。因此,例如,您可以将* my * App ID与* your *本地托管的应用程序一起使用。你能用它做什么坏事? –
@Clint哈里斯:如果我不知道应用程序的秘密,我该如何使用它? – zerkms
如果您只使用客户端身份验证(即仅使用JavaScript),则不需要使用密钥。请参阅身份验证文档中的“客户端流程”部分:https://developers.facebook.com/docs/authentication/ –
我也觉得这是有风险的,而不是本地主机的问题(你可以把它改成其他的事情,比如mylocal.develop,在/ etc它映射/ (https://en.wikipedia.org/wiki/IP_address_spoofing)
不知道是否可以避免在Facebook中强制SSL模式或类似的东西。
更新:我还没有得到有关这些风险的权威答案,但Facebook开发论坛上的某个人建议将其安全地播放,并将该应用程序置于“沙盒”模式,而网站URL为localhost。 http://goo.gl/fPb19 –