在我的应用程序上,用户可以登录 Facebook,然后该应用程序拥有用户的访问 token (比如说它是“abc”),我想使用这个 token 在我自己的服务器上创建一个用户。
将此访问 token 发送到我的服务器(使用 SSL)是否安全,然后使用 https://graph.facebook.com/me?access_token=abc 获取用户的用户名和 ID?在我的服务器上检查 token 所属的应用程序是否是我的 https://graph.facebook.com/app?access_token=abc .如果是我的应用程序,我会将该用户存储在我的用户数据库中并/或让他们登录。
这个系统能被愚弄吗?您能想出一种方式让其他人可以登录吗?
最佳答案
您应该查看所有 Authentication文档和 Oauth 规范以查看可用的不同身份验证流程
从广义上讲,您可以根据访问 token 在您的服务器上创建一个用户,并且可以合理地确定,当您从 Facebook 获得同一用户 ID 的访问 token 时,那是同一个人。
如果您对应用程序的安全性要求非常高,您可以采取措施确保用户的访问 token 不是通过恶意软件或 Facebook 用户被欺骗生成的,在 Server Side Authentication 中有一个显示针对 CSRF 保护的示例文档,还有一个 reauthentication您可以使用的流程
关于facebook - 使用 Facebook 访问 token 是否是验证用户的安全方式?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11991926/