Facebook SSO (または任意の SSO プロバイダー) に関するセキュリティ上の懸念について意見を求めたいと思います。
ユーザーがモバイルで FB SSO を実行し、アプリへのサインインを実行すると、FB モバイル アプリから受信したトークンがサーバーに渡され、サーバーはトークンが有効であることを認証するために FB への要求を実行します。これは盗まれたリクエストではありません。
これは初回のみ行われます。理論的には、Facebook は ID サーバーであるため、サーバーへのすべての呼び出しで、FB サーバーを呼び出してトークンを認証し続ける必要があります。これは明らかに理想的ではありません。サーバーへのすべてのリクエストを FB サーバーのリクエストと常に同期することはできないため、パフォーマンスの観点から、また他の多くの理由からです。
ただし、セキュリティの観点からは、すべてのリクエストは SSL 化されていますが、サーバーはこのユーザー トークンがまだ有効であることを認識しておらず、それを確認する唯一の方法は、FB サーバーを呼び出すことです。(これの良い例は、ユーザーが SSO を実行してから、FB 設定でアプリを削除した場合です。)
この問題についてどう思いますか。