我在線閱讀並瞭解如何使用FB連接以及如何創建使用fb登錄的應用程序。我想知道的是,是否可以在認證之間操作數據。FB登錄驗證機制
所以這就是我所迷惑的。因此,我們有
因此,當我打開我的應用程序時,我的應用程序將要求fb登錄和pw,我們將這些信息發送到FB服務器。 FB服務器然後給我的應用程序一個令牌,然後我的應用程序將令牌發送到我的服務器,然後我的服務器將驗證與FB服務器?這是如何工作的?
如果這是它的工作原理爲什麼有在FB登錄沒有盜號的方式,人們不能使假代幣?
Facebook使用OAuth 2.0,這是開放授權的當前標準。這是維基百科的簡短描述:
的OAuth提供的客戶端應用的「安全委派訪問」到 服務器資源代表資源所有者。它爲資源所有者指定了一個進程 ,以授權第三方訪問其服務器資源,而不共享其憑據。專爲使用超文本傳輸協議 工作(HTTP),OAuth的基本上可以讓 訪問令牌由授權 服務器發放給第三方客戶端,與資源所有者,或最終用戶的認可。然後,客戶端使用訪問令牌訪問資源服務器託管的受保護資源 。[1] OAuth是常用的一種方式 網民使用谷歌自己, Facebook或Twitter密碼登錄到第三方網站,而不用擔心他們的訪問受到損害 憑據。
你可以閱讀RFC規範的更多詳細信息:http://tools.ietf.org/html/rfc6749 您還可以瞭解不同的集成信息:http://oauth.net/2/
不能創建一個假的令牌。用戶在輸入用戶名和密碼後會收到一個令牌,這意味着竊取他的令牌相當於竊取他的憑證,因爲令牌是隨機生成的。
我將解釋不久流量: 我是一個用戶,使用一般的Facebook和你的應用程序。我登錄Facebook並通過Facebook或通過外部鏈接訪問您的應用程序並點擊它。然後,facebook會問我是否想與您的應用程序分享我的個人信息(這是因爲我已登錄。如果我不是,那麼它會要求我輸入我的用戶名和密碼)。如果我同意,Facebook會向您的應用程序發送訪問令牌,並且您將訪問我的個人信息。因此,這種訪問將受到高度限制,並且您將無法做任何有害的事情,並且在幾次之後它將會過期,具體取決於實施情況,但應該在一個小時左右。
您的問題,甚至是一套適合你的應用程序將是一個VAID登錄(因爲存在用戶在Facebook)的所有目的,「假」證書。Facebook本質上是認證該人是有效的人。一個人不能做一個假Facebook標記,因爲它是有簽名的