Q

Facebook JS SDK的安全問題

2015-04-28 55 views 1 likes

1

我正在使用facebook JS sdk登錄用戶。這些是我遵循的步驟： -

1）我使用FB.login(...)來獲取用戶的詳細信息。
2）現在，從Facebook收到資料後，我送使用jQuery的$.post(..)功能的PHP頁面POST請求說FBUser.php與參數 - name，uid（Facebook的用戶ID），email和access_token爲publish_actions。
3）現在在FBUser.php頁面中，我會執行所有這些操作，例如將短壽命令牌轉換爲長壽命，然後檢查收到的uid是否存在於我的users表中。如果不是，我創建一個新用戶，否則我登錄舊用戶。

今天，我剛剛意識到我做出瞭如此大的安全性妥協，因爲任何人都可以通過現有用戶的uid發送POST請求到FBUser.php頁面並訪問他的帳戶。但另一方面，我相信一些大的網站也使用JS SDK。很顯然，我錯了某個地方。如何安全地登錄用戶並防止他的帳戶被黑客入侵？Facebook JS SDK的安全問題

2015-04-28 khandelwaldeval

+1

https://developers.facebook.com/docs/facebook-login/login-flow-for-web/v2.3#confirm – CBroe

+0

@CBroe，感謝您給予鏈接。沒有去那個部分 – khandelwaldeval

A

回答

1

你應該首先滿足應用和用戶ID，那麼你應該檢查訪問令牌，就像這樣： graph.facebook.com/debug_token?input_token={token-to-check}&access_token={app-token}

你可以從https://developers.facebook.com/tools/accesstoken/

2015-04-28 13:28:49

+0

我想說你從@ CBroe的評論應對了答案，但是你給的鏈接幫助了我所以... + 1 – khandelwaldeval

1

應用令牌你可以得到的的UID用戶使用發送給您的訪問令牌，通過使用此令牌訪問Facebook圖形並查詢「/ me」。您不應該在客戶端發送的uid上進行中繼。我的應用程序只接收訪問令牌，並從服務器到服務器的調用中獲取其餘數據。

2015-04-28 21:25:39

相關問題

11. 閱讀JS數組的安全問題？
12. Facebook JS SDK：純文本和安全性的access_token
13. 安全/非安全瀏覽問題
14. facebook-ios-SDK問題
15. Facebook Android SDK：問題
16. Facebook Android SDK問題
17. Facebook v2.5 SDK問題？
18. Android - facebook sdk問題
19. yammer js sdk問題
20. Facebook Javascript SDK執行問題
21. Facebook登錄問題（PHP SDK 3.1.1 +最新JS SDK）
22. Facebook的：PHP的SDK問題
23. Facebook JS SDK，不安全從客戶端傳遞用戶ID？
24. facebook連接iphone - 安全問題
25. Facebook應用程序安全問題
26. 的Facebook SDK 3.1.1 ACCESS_TOKEN問題
27. 面對Facebook SDK的問題
28. 舊Facebook SDK的問題
29. 問題在Facebook的IOS-SDK
30. 關於facebook SDK的問題