1

Facebook C# SDK 承認フローの良い例を探しています。SDK のバージョン 6 にアップグレードしていますが、新しいフローを理解できません。次のコンポーネントを使用しています。

Asp.net MVC3 Web アプリケーション Facebook C# SDK v6 FB Javascript SDK

さらに使用するために、FB Javascript SDK からサーバーに access_token を渡そうとしています。

このフローは、次の新しいドキュメントで概説されています。

http://csharpsdk.org/docs/web/getting-started

次の質問があります。

  1. アクセス トークンをポストに渡すのではなく、Cookie から解析するのはなぜですか。
  2. アクセストークンを信頼する前に、サーバー側で署名されたリクエストを検証する必要はありませんか?
4

1 に答える 1

0

まず、Facebook Javascript SDK が C# SDK で動作させるために提供している規則に従う必要があります。

答えます。1. Javascript SDK は、Facebook にログインした後、ページをポストバックする必要があります。Cookie からトークンを取得することについては正しいと思いますが、ブラウザーで Cookie が無効になっているとどうなるでしょうか? どちらの場合も、アクセス トークンを投稿するのが最善の選択です。

2.アクセストークンはFacebookによって暗号化されているため、心配する必要はありません。セキュリティを強化したい場合は、アプリの設定で暗号化されたアクセス トークンを有効にします。

http://developers.facebook.com/blog/post/572/を参照してください。

もう 1 つのことは、誰かが無効なアクセス トークン (XSS 攻撃) をポストバックで渡した場合でも、アクセス トークンは Graph API サーバーで検証されるため、Facebook アカウントに影響を与える可能性が少ないため、心配する必要はありません。サイトの HTTPS を有効にして、より安全にすることもできます。

私が持っているのはそれだけです。

幸せな社交に感謝.. ;)

ダルメンドラ。

于 2012-05-18T11:22:04.627 に答える