如果我与开发网站的人员共享我的 Facebook 客户端 ID 和 secret ID,以便他们可以创建 Facebook 登录按钮,这会不会很糟糕?
他还向我索要所有其他信息,我将所有信息都交给了他,以便他在我的网站上创建 Facebook、Instagram 和 Twitter 登录按钮。我还给了他谷歌的那些。
客户名称 客户ID 客户 secret 客户状态 网站 说明
应用程序 ID 应用程序_ secret 应用程序_page_id
推特
消费者 key 消费者 secret
最佳答案
简而言之:否
这个问题的答案在很大程度上取决于您的环境和设置类型,但总而言之,现在这不是一个好主意,因为很容易避免共享这些内容 secret 。
ID 通常是公开的,因此共享该 ID 没有什么坏处,但如果您可以自己管理 key ,则应将 key 直接输入到服务器(或应用程序服务)的环境设置中。不同的托管有不同的方法来启用此功能,请咨询您的托管提供商和开发团队来指导您。
天气好的时候
如果您自己不是技术人员,不想经历管理服务器访问的麻烦,发现很难学习并非常信任您的开发人员,那么没关系,他们需要它来进行实际部署。
请记住,在开发和测试网站/服务时,他们可以使用他们自己在大多数情况下可以获得的临时应用程序 ID 和 key 。
后续问题:
问如果我进入设置并为所有这些社交服务请求一个新的 key ,是否会影响开发人员的编程并产生问题,还是会好起来?客户端 ID 足以胜任这项工作吗?
回答是的,如果您重置 key ,服务将会失败,并且需要在服务器上配置新 key 。 Facebook、Google、Instagram 开发者页面上都有大量有关此主题的指南,而且非常简单。
问:如果他们拥有 secret ID,他们可以进入我的 Facebook、Instagram 等吗?
回答否, key 用于让应用/服务允许您的网站请求允许您的应用的用户信息,而不是用于访问您的帐户。
问请告诉我,在与开发人员共享该 secret 后,如果他们做错了,可能发生的最糟糕的事情是什么?
回答这基本上是一个安全风险。在我看来,可能发生的最糟糕的事情之一是他们将其提交到开放代码存储库或以错误的方式实现,以便任何人都可以轻松访问。这将使攻击者/黑客让您的应用程序用户相信他们在攻击中向您的应用程序授予对其请求的数据的访问权限(通过使用您的应用程序 ID 和 secret )。但这在很大程度上取决于开发人员的粗心程度,如果他们足够好,他们会努力确保其安全。在下次 session 中询问他们如何使用它以及如何防止其他人复制它。他们很可能是好人,已经考虑到了这一点,并且还会向您解释。
关于java - 在我的网站中添加 Facebook 登录信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45641773/