在 Facebook for Android SDK 3.0 中,当您使用 WebDialog 对用户进行身份验证时(通过SessionLoginBehavior.SUPPRESS_SSO),它不会根据 Facebook 应用程序设置中定义的密钥哈希进行身份验证。似乎只有在使用 Android 原生 Facebook 应用程序登录时才会检查密钥哈希。
作为测试,我删除了所有密钥哈希并将 Facebook 应用程序置于生产模式。通过本机登录登录按预期给我一个错误,但通过 WebDialog 登录是成功的。
这是否意味着您可以指定其他人的 Facebook 应用程序 ID 并执行该应用程序的功能?例如,我将app_id我的 Android 应用程序中的 更改为107092686086560(Coke Zone Facebook 应用程序)。当我使用 WebDialog 登录时,它会让我通过 Coke Zone 登录并发布到我的朋友墙上。这不是安全问题吗?