我在线阅读并了解如何使用FB连接以及如何创建使用fb登录的应用程序。我想知道的是,是否可以在认证之间操作数据。FB登录验证机制
所以这就是我所迷惑的。因此,我们有
因此,当我打开我的应用程序时,我的应用程序将要求fb登录和pw,我们将这些信息发送到FB服务器。 FB服务器然后给我的应用程序一个令牌,然后我的应用程序将令牌发送到我的服务器,然后我的服务器将验证与FB服务器?这是如何工作的?
如果这是它的工作原理为什么有在FB登录没有盗号的方式,人们不能使假代币?
Facebook使用OAuth 2.0,这是开放授权的当前标准。这是维基百科的简短描述:
的OAuth提供的客户端应用的“安全委派访问”到 服务器资源代表资源所有者。它为资源所有者指定了一个进程 ,以授权第三方访问其服务器资源,而不共享其凭据。专为使用超文本传输协议 工作(HTTP),OAuth的基本上可以让 访问令牌由授权 服务器发放给第三方客户端,与资源所有者,或最终用户的认可。然后,客户端使用访问令牌访问资源服务器托管的受保护资源 。[1] OAuth是常用的一种方式 网民使用谷歌自己, Facebook或Twitter密码登录到第三方网站,而不用担心他们的访问受到损害 凭据。
你可以阅读RFC规范的更多详细信息:http://tools.ietf.org/html/rfc6749 您还可以了解不同的集成信息:http://oauth.net/2/
不能创建一个假的令牌。用户在输入用户名和密码后会收到一个令牌,这意味着窃取他的令牌相当于窃取他的凭证,因为令牌是随机生成的。
我将解释不久流量: 我是一个用户,使用一般的Facebook和你的应用程序。我登录Facebook并通过Facebook或通过外部链接访问您的应用程序并点击它。然后,facebook会问我是否想与您的应用程序分享我的个人信息(这是因为我已登录。如果我不是,那么它会要求我输入我的用户名和密码)。如果我同意,Facebook会向您的应用程序发送访问令牌,并且您将访问我的个人信息。因此,这种访问将受到高度限制,并且您将无法做任何有害的事情,并且在几次之后它将会过期,具体取决于实施情况,但应该在一个小时左右。
您的问题,甚至是一套适合你的应用程序将是一个VAID登录(因为存在用户在Facebook)的所有目的,“假”证书。Facebook本质上是认证该人是有效的人。一个人不能做一个假Facebook标记,因为它是有签名的