javascript – 使用facebook API登录的安全性
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了javascript – 使用facebook API登录的安全性,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1422字,纯文字阅读大概需要3分钟。
内容图文
![javascript – 使用facebook API登录的安全性](/upload/InfoBanner/zyjiaocheng/784/ea2dae65019e40289876884aed290d90.jpg)
我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题.
用户必须在我的系统中注册,但他可以将FB帐户与其关联.当FB帐户关联时,我只保存来自Facebook的用户电子邮件地址.
当用户点击“使用facebook登录”时(考虑到他已登录Facebook),我只需抓取其个人资料电子邮件,然后将其发送到服务器以验证是否有与该电子邮件相关联的用户.如果存在此类用户,则为该用户创建会话.
这是抓取用户电子邮件并将其发送到服务器的代码:
function login()
{
FB.api('/me',
function (user)
{
$.ajax(
{
url: "my_ajax_page.php",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: user.email},
success: function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
);
}
);
}
这种方法存在很大的安全漏洞,任何人都可以创建一个脚本向我的系统发送电子邮件,这个“错误”的电子邮件将链接到当前登录的用户帐户:
function hacking()
{
$.ajax(
{
url: "my_ajax_page.php",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: 'someonemail@mail.com'},
success:
function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
}
我可以使用什么方法来确保使用FB登录?
解决方法:
也许您应该将signed__request作为另一个参数发送到Ajax调用.只有具有自己的`app_secret的应用程序才能对signed_request进行解码,因此如果您能够对其进行解码 – 这意味着该呼叫来自有效(已登录)的Facebook用户.
您可以在此链接上阅读有关已签名请求的更多信息
https://developers.facebook.com/docs/authentication/signed_request/
内容总结
以上是互联网集市为您收集整理的javascript – 使用facebook API登录的安全性全部内容,希望文章能够帮你解决javascript – 使用facebook API登录的安全性所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。