Android的Facebook的SDK：登錄作品沒有正確的密鑰散列

Question

我已經在developers.facebook.com創建了一個android示例應用程序，但我沒有在設置中提供任何密鑰散列。現在，如果我嘗試在安裝了fb應用程序的示例中登錄，它會提供預期的無效密鑰hasherror。

但是，如果我禁用Facebook應用程序，默認情況下會打開一個webview疊加層，登錄工作正常，沒有任何錯誤。這不應該是一個安全問題，因爲如果任何黑客獲得我的app_id訪問權限，他可以使用相同的app_id創建他自己的應用程序，並使用它來登錄fb。如果有人能解釋這個安全問題，這將是有幫助的。

Answer 1

使用webview，由於SDK是開源的，因此沒有能力強制發送密鑰散列，任何人都可以修改源代碼（意味着它們可以覆蓋SDK生成的任何密鑰散列）。

在登錄期間，用戶仍然會看到他們正在授權的應用程序的名稱和圖標，並且可能會注意到他們正在授權的那個不是他們當前打開的那個。從webview獲取的訪問令牌也可能存在一些限制。