2

ユーザーが oAuth (facebook/twitter) を使用して自分のサイトにログインできるようにしたいのですが、クライアント側で認証するとセキュリティ モデルがどのように機能するのか理解できません。

ユーザーが認証されると、authToken と ID を含むリダイレクトを受け取ります。ID を使用してユーザーの情報をデータベースにクエリ/保存することを提案する多くの回答がありましたが、誰でも ID を知っていて、誰のデータも取得できる可能性があるため、これは安全ではありません。

サーバーからの authToken を使用して、それが有効で ID と一致するかどうかを確認する必要がありますか? それとも、ユーザーが自分のサイトにログインする唯一の方法は、サーバー側の認証を使用することだと思いますか?

ありがとう、

-遺伝子

4

1 に答える 1

0

実際、クライアント側で oAuth を行うのは安全ではありません。ストア access_token はクライアント側で問題ありません。これは実際にはチケットであり、破棄または期限切れになる可能性があります。ユーザーのaccess_tokenを使ってユーザーID(graph.facebook.com/me)を交換できますが、これもFacebook内でIDを無料で取得できるので安全です。

app_id と app_secret を graph.facebook.com/oauth/access_token 経由で交換する必要があるアプリ アクセス トークンは安全ではありません。これはサーバー側で保存する必要があります。

于 2015-11-27T06:47:47.707 に答える