1

我目前正在尝试在我的网站中实施 Facebook 身份验证,但我看到了许多主要的安全漏洞。我可以与服务器就刚刚对我的应用程序进行身份验证的用户进行通信的唯一方法是使用某种 POST 或 GET 请求到另一个页面,该页面将 facebook ID 与填充了用户 facebook ID 和站点用户 id 的数据库相匹配。攻击者只需获取用户的 Facebook ID,并向服务器发送人工请求,即可访问该帐户。使用服务器端通信实现 Facebook Authentication Javascript SDK 的更安全方法是什么?

4

1 回答 1

0

我认为最好将这个问题重复为:仅发送 facebook id 以登录某人时,如何最好地保护我的登录系统?那是对的吗?

我认为问题与正常登录相同。您至少需要 2 个字段才能正确确认用户的身份。为什么不选择他们的电子邮件、他们的 ID,我相信他们的访问令牌。此访问令牌应直接从 facebook 传递。然后,您可以使用此令牌服务器端并询问 facebook 令牌是否有效。

看看这个:https ://developers.facebook.com/blog/post/2011/05/13/how-to--handle-expired-access-tokens/

另外:自offline_access弃用以来如何扩展访问令牌的有效性

于 2012-08-17T00:39:49.773 回答