0

LinkedIn のサインイン ボタンを実装したいと考えていたところ、以下の URL に実装方法の簡単なガイドがありました。

https://developer.linkedin.com/documents/sign-linkedin

<script type="text/javascript">
function onLinkedInAuth() {
  IN.API.Profile("me")
    .result( function(me) {
      var id = me.values[0].id;
      // AJAX call to pass back id to your server
    });
}
</script>

指定されたガイドラインから、ユーザーがリンクされたアカウントに正常にサインインした後、JS コールバック関数を実行して、ユーザーのプロファイルの詳細を取得できることが言及されています。

基本的に、ユーザーのlinkedin IDをサーバーに渡すことができ、それを使用してユーザーを識別し、最終的に認証できることにも言及しました。

この方法では、誰でも ID にリンクされた他の誰かを取得できる可能性があるため、安全性が低いと思います。ログインフローをどのように強化して安全にしていますか?

ご意見をお待ちしております。

ありがとう!

4

1 に答える 1

1

誰かが ID を取得できたとしても、それは役に立たないでしょう。

API 経由のユーザー ID は、アプリケーションごとに異なるため、リンクされた Web サイトに表示される ID とは異なります。そのため、ユーザーが ID にアクセスできたとしても、アプリケーションのキー (コンシューマー キーとコンシューマー シークレット) にアクセスする必要があります。

これが役立つことを願っています。

于 2015-01-16T08:50:02.623 に答える