1
这里有很多问题都是关于服务器端Facebook access token
的验证过程。我有点困惑如何仍然安全?身份验证:Facebook用户在服务器端访问令牌验证?
我的客户端和服务器流是:在客户端使用Mobile SDK
- 用户
Continue with Facebook
。 - Facebook将
User access token
返回给客户端。 - 服务器端点收到
user access token
(通过POST方法)并使用Graph
API验证access_token
。 - 在验证用户的情况下返回
JWT
授权令牌响应 - 在此期间(一小时内),如果黑客找出
endpoint
并通过新access_token
到砍死端点。
如果5th
点被执行会发生什么?很难破解POST
参数,但是在反编译应用程序并查看类文件(至少对于android apk)后可能是可能的。在这种情况下,服务器将无法识别伪造请求,并始终返回JWT Authorization
令牌以进行进一步调用。
Facebook access_token
的有效期为60天。我需要在验证端点时提供额外的安全层,以确保请求只来自应用程序吗?
是否facebook user access_token
无论何时用户请求登录?
任何形式的帮助都是可观的。由于
相当多,你必须使用自己的身份验证机制可以说基本验证。或者除了开发人员之外,任何人都不能使用身份验证头。 –
@KhushalChouhan基本身份验证不安全,因为它以明文形式发送参数。 –
我不知道。你能提供你的信息来源吗? –