Iphone Facebook会话代理如何提高安全性?
我正在编写一个使用Facebook Connect的iPhone应用程序。在测试过程中,您通常会将应用程序机密直接嵌入到代码中,并通过以下呼叫设置Facebook:Iphone Facebook会话代理如何提高安全性?,iphone,security,facebook,Iphone,Security,Facebook,我正在编写一个使用Facebook Connect的iPhone应用程序。在测试过程中,您通常会将应用程序机密直接嵌入到代码中,并通过以下呼叫设置Facebook: session = [FBSession sessionForApplication:myApiKey secret:myAppSecret delegate:self]; 但是,对于生产代码,建议使用会话代理,而不是将应用程序机密嵌入到代码中: session = [FBSession sessionForApplication
session = [FBSession sessionForApplication:myApiKey secret:myAppSecret delegate:self];
但是,对于生产代码,建议使用会话代理,而不是将应用程序机密嵌入到代码中:
session = [FBSession sessionForApplication:myApiKey getSessionProxy:myURL delegate:self];
我知道泄露你的“秘密”可能是件坏事——它允许任何人采取似乎源自你的应用程序的行动——但我不知道使用代理如何解决这个问题。攻击者只需将其代码指向您的会话代理即可。代理不会验证请求是否来自您的应用程序。换言之,你不是在给别人王国的钥匙,而是在给任何有要求的人一天的通行证
那么,增加的安全性在哪里呢?应用程序机密是否为您提供了代理会话所没有的额外特权?从我看到的
代理的实现取决于您,因此您可以向其添加代码以验证客户端等。回答我自己的问题,是的,有与应用程序机密相关的额外特权。此页面确定需要应用程序机密的API方法与可以使用会话机密的API方法:
我仍然不确定这会允许恶意用户做什么。