我想開始一個線程,以瞭解人們當前用於在Facebook上使用Facebook C#SDK在.NET上運行的Facebook(畫布)應用程序中序列化用戶數據的實踐。使用.NET Facebook應用程序保護數據存儲(使用Facebook C#SDK)
安全性:有沒有人公開過可以通過FB應用程序的AJAX機制訪問的數據端點?如果是這樣,你是如何保護他們的?似乎在安全性方面進行完整回發時訪問數據會更簡單,但即使在那裏我也不完全確定安全影響。我習慣於使用表單身份驗證來做事情,所以我很不確定如何在FB上下文中保護數據。顯然沒有密碼是好的,但我仍然認爲這是一個有價值的話題。
謝謝...
-Ben
如果你是依靠在Facebook上的身份驗證,你能做的最好的事情就是確保signed_request是有效的,Facebook的C#SDK可以實現這個要求。 (通過有效的,我的意思是它最初來自Facebook)但是,你不能確保它來自cookie所說的用戶。 signed_request可能會被攔截,因爲它經常通過非SSL連接發送。這個問題包含兩個值得閱讀的答案,應該回答你的問題。 Facebook JS SDK: access_token in plain text and security
關於暴露ajax端點。只要確保將signed_request傳遞給端點並使用FacebookApp類讀取會話即可。這將確保它是有效的。這裏是關於該主題的更多信息:Facebook C# SDK, AJAX in iFrame app
>你可以做的最好的事情是確保signed_request有效,Facebook C#SDK爲你做這件事.. _________ 有誰有任何經驗將SDK與Web服務合併?我只看到它被集成到ASP.NET webforms或MVC應用程序中的示例。 – BenjiFB 2012-02-17 19:21:29
好問題。什麼是攻擊媒介?有人通過類似FireSheep的工具嗅探加密的signed_request或用戶的OAuth令牌,並使用它通過ajax欺騙POST到您的端點? – 2011-01-09 17:31:21