Momentálne sa pokúšam implementovať FacebookAutentifikácia na mojom webe, ale vidím veľa veľkých bezpečnostných dier. Jediný spôsob, ako môžem so serverom komunikovať o používateľovi, ktorý práve overil moju aplikáciu, je použitie nejakého typu POST alebo GET požiadavky na inú stránku, ktorá sa zhoduje s facebookom. ID s databázou naplnenou ID používateľov facebook a ID používateľov stránok. Útočník môže iba získať ID používateľa faceboom a poslať umelú požiadavku na server, aby získal prístup k účtu. Čo je bezpečnejší spôsob implementácie súprava Javascript SDK na overenie Facebooku s komunikáciou na strane servera.
odpovede:
0 pre odpoveď č. 1Myslím si, že táto otázka sa najlepšie opakuje ako: Ako môžem najlepšie zabezpečiť svoj prihlasovací systém, keď iba posielam facebook id, aby som niekoho prihlásil? Je to správne?
Myslím si, že problém je rovnaký ako obvykleprihlásiť sa. Na správne potvrdenie totožnosti používateľa potrebujete minimálne 2 polia. Prečo nevyberať jeho e-mail, jeho ID a verím, že jeho prístupový token. Tento prístupový token by mal byť odovzdaný priamo z facebooku. Tento token potom môžete použiť na strane servera a opýtajte sa facebooku, či je token platný.
Pozri na toto: https://developers.facebook.com/blog/post/2011/05/13/how-to--handle-expired-access-tokens/
tiež: Ako rozšíriť platnosť tokenu prístupu od offline_access deprecation