1
這裏有很多問題都是關於服務器端Facebook access token
的驗證過程。我有點困惑如何仍然安全?身份驗證:Facebook用戶在服務器端訪問令牌驗證?
我的客戶端和服務器流是:在客戶端使用Mobile SDK
- 用戶
Continue with Facebook
。 - Facebook將
User access token
返回給客戶端。 - 服務器端點收到
user access token
(通過POST方法)並使用Graph
API驗證access_token
。 - 在驗證用戶的情況下返回
JWT
授權令牌響應 - 在此期間(一小時內),如果黑客找出
endpoint
並通過新access_token
到砍死端點。
如果5th
點被執行會發生什麼?很難破解POST
參數,但是在反編譯應用程序並查看類文件(至少對於android apk)後可能是可能的。在這種情況下,服務器將無法識別僞造請求,並始終返回JWT Authorization
令牌以進行進一步調用。
Facebook access_token
的有效期爲60天。我需要在驗證端點時提供額外的安全層,以確保請求只來自應用程序嗎?
是否facebook user access_token
無論何時用戶請求登錄?
任何形式的幫助都是可觀的。由於
相當多,你必須使用自己的身份驗證機制可以說基本驗證。或者除了開發人員之外,任何人都不能使用身份驗證頭。 –
@KhushalChouhan基本身份驗證不安全,因爲它以明文形式發送參數。 –
我不知道。你能提供你的信息來源嗎? –