現在、Web サイトに Facebook 認証を実装しようとしていますが、重大なセキュリティ ホールが多数あります。アプリを認証したばかりのユーザーについてサーバーと通信できる唯一の方法は、別のページへのある種の POST または GET 要求を使用することです。これは、Facebook ID を、ユーザーの Facebook ID とサイトのユーザー ID で満たされたデータベースと照合します。攻撃者は、ユーザーの faceboom ID を取得し、人為的なリクエストをサーバーに送信して、アカウントへのアクセスを取得することができます。サーバー側通信で Facebook Authentication Javascript SDK を実装するより安全な方法は何ですか。
質問する
168 次
1 に答える
0
この質問は次のように繰り返すのが最善だと思います。誰かにログインするためにFacebookIDを送信するだけの場合、どうすればログインシステムを最も安全に保護できますか?あれは正しいですか?
問題は通常のログインとまったく同じだと思います。ユーザーのIDを正しく確認するには、少なくとも2つのフィールドが必要です。彼らの電子メール、ID、そして私は彼らのアクセストークンを選択してみませんか。このアクセストークンは、Facebookから直接渡す必要があります。次に、このトークンサーバー側を使用して、トークンが有効かどうかをFacebookに問い合わせることができます。
これをチェックしてください:https ://developers.facebook.com/blog/post/2011/05/13/how-to--handle-expired-access-tokens/
于 2012-08-17T00:39:49.773 に答える