Android 身份验证:服务器端的Facebook用户访问令牌验证?
这里有很多问题是关于服务器端的Android 身份验证:服务器端的Facebook用户访问令牌验证?,android,facebook,facebook-graph-api,facebook-oauth,Android,Facebook,Facebook Graph Api,Facebook Oauth,这里有很多问题是关于服务器端的Facebook访问令牌的验证过程。我有点困惑怎么还安全 我的客户端和服务器流是: 用户在客户端使用移动SDK继续使用Facebook Facebook将用户访问令牌返回到客户端 服务器端点接收用户访问令牌(通过POST方法),并使用图形API验证访问令牌 如果是经过身份验证的用户,则返回JWT授权令牌作为响应 同时(一小时内),如果黑客发现端点,并将新的访问令牌传递给被黑客攻击的端点 如果执行5th点,会发生什么情况?破解POST参数是很困难的,但在反编译应用程序
Facebook访问令牌的验证过程。我有点困惑怎么还安全
我的客户端和服务器流是:
用户在客户端使用移动SDK继续使用Facebook
Facebook将用户访问令牌
返回到客户端
服务器端点接收用户访问令牌
(通过POST方法),并使用图形
API验证访问令牌
如果是经过身份验证的用户,则返回JWT
授权令牌作为响应
同时(一小时内),如果黑客发现端点
,并将新的访问令牌
传递给被黑客攻击的端点
如果执行5th
点,会发生什么情况?破解POST
参数是很困难的,但在反编译应用程序并查看类文件(至少对于android apk)之后,这是可能的。在这种情况下,服务器将无法识别伪造的请求,并将始终返回JWT Authorization
令牌以进行进一步调用
Facebook访问令牌的有效期为60天。我是否需要在验证端点时提供额外的安全层,以确保请求仅来自应用程序
每当用户请求登录时,facebook用户访问\u令牌是否总是在更改
任何形式的帮助都是值得的。谢谢解决方案:
生成的access\u令牌将始终属于某个应用程序。要验证是否将access\u令牌
和app\u令牌
传入:
https://graph.facebook.com/debug_token?
access_token=ACCESS_TOKEN
&app_token=APP_TOKEN
您几乎必须使用自己的身份验证机制,比如说基本身份验证。或者一个身份验证头,除了开发人员之外,其他人都无法使用。@KhushalChouhan Basic auth不安全,因为它以明文形式发送参数。我不知道这一点。你能提供你的信息来源吗?