私は現在、FB SDKを(初めて)使用してユーザーをアプリにログインさせるアプリを開発しています。流れは典型的なものだと思います。ユーザーが「Facebookでログイン」をタップすると、Facebookグラフが認証され、APIが呼び出され、ファイルにあるFacebookメール(のみ)を介してユーザーがログインします。
ただし、ここで私を驚かせているのは、理論的には、api_tokenを知っていて、ログインするための有効な既存の電子メールのみを使用してログインURLにPOSTを呼び出すことは、実際にログインできるため、セキュリティの問題ではないことです。他の誰かとして。私はこれを考えすぎていますか?当然のことながら、ダメージを与えるには、APIのあらゆる側面を知っている必要があります。しかし、それでも、私はこの流れに満足していません。私は何かが足りないのですか?
これはあなたが心配しなければならないことではないはずです。Facebookはまず、ユーザーがFacebookにログインする必要があることでユーザーを保護します。次に、ユーザーのUID(誰でもすぐに利用可能)とAPIキーでは不十分です。リクエストに署名するには、APIシークレットキー(誰かが持っている場合は悪いことです)が必要です。
実際に使用しているのはOAuthです(ただし、Devise、OmniAuthを使用)。私は専門家ではありませんが、こちらで詳細を読むことができます:http: //hueniverse.com/oauth/guide/security/
ユーザーがOAuthを介して登録する場合、パスワードを設定する必要はありません。ユーザーは最初にFacebookにログインする必要があるため、これは大したことではありません。アカウントを編集する場合はパスワードを設定するように依頼することをお勧めします。つまり、Facebookなどを希望/削除する場合は、従来の方法でサインインすることもできます。