如何避免与“登录”社交媒体被黑客攻击

Question

问题标题可能不会被清除我所问。

我的问题在所有使用Facebook/google/twitter的登录系统设计中都很常见，以及如何避免黑客生成假数据以注册我的应用程序。

这里是我要问更详细：

当一个人按“使用Facebook登入”，并与Facebook的身份验证，我的应用程序应该有这样的用户的电子邮件，USER_ID和的access_token，然后我可以使用这些数据在我自己的数据库上创建用户帐户并登录到用户。 所以这里是我想不出的。黑客可以轻松生成伪造的电子邮件/ user_id/access_token，并向我的服务器创建POST请求，充当有效的Facebook登录。如果是这种情况，人们可以很容易地从我的应用程序的数据库中窃取所有其他链接/合并帐户？我对吗？如果是这样，如何避免这种情况？如果不是，我错过了什么？

感谢先进！

Answer 1

您可以通过该服务检查访问令牌的有效性，例如与Facebook的常用方法是调用这个API：https://graph.facebook.com/app?access_token=XXXX，并与Twitter这一个：https://api.twitter.com/1/account/verify_credentials.json?oauth_access_token=XXXX

几乎采用OAuth每个服务都有这样的事情！