Android的Facebook的SDK：登录作品没有正确的密钥散列

Question

我已经在developers.facebook.com创建了一个android示例应用程序，但我没有在设置中提供任何密钥散列。现在，如果我尝试在安装了fb应用程序的示例中登录，它会提供预期的无效密钥hasherror。

但是，如果我禁用Facebook应用程序，默认情况下会打开一个webview叠加层，登录工作正常，没有任何错误。这不应该是一个安全问题，因为如果任何黑客获得我的app_id访问权限，他可以使用相同的app_id创建他自己的应用程序，并使用它来登录fb。如果有人能解释这个安全问题，这将是有帮助的。

Answer 1

使用webview，由于SDK是开源的，因此没有能力强制发送密钥散列，任何人都可以修改源代码（意味着它们可以覆盖SDK生成的任何密钥散列）。

在登录期间，用户仍然会看到他们正在授权的应用程序的名称和图标，并且可能会注意到他们正在授权的那个不是他们当前打开的那个。从webview获取的访问令牌也可能存在一些限制。