我想就 Facebook SSO(或任何 SSO 提供商,就此而言)的安全问题征求您的意见。
当用户在移动设备上执行 FB SSO 并执行登录到我们的应用程序时,我们将从 FB 移动应用程序接收到的令牌传递到我们的服务器,服务器向 FB 发出请求以验证令牌是否有效,这不是一个被盗的请求。
这只是第一次。从理论上讲,从现在开始每次调用我们的服务器时,我们仍然需要调用 FB 服务器并继续验证令牌,因为 Facebook 是我们的身份服务器。这显然不理想,因为对我们服务器的每个请求都不能不断地与 FB 服务器请求同步,性能方面和许多其他原因。
然而,从安全的角度来看,虽然所有请求都是 SSL 的,但我们的服务器并不知道这个用户令牌是否仍然有效,唯一的方法是调用 FB 服务器。(一个很好的例子是用户执行 SSO,然后在 FB 设置中删除了该应用程序。)
你对这个问题有什么看法?