Javascript facebook API登录的安全性_Javascript_Ajax_Facebook

Javascript facebook API登录的安全性

javascript ajax facebook

Javascript facebook API登录的安全性,javascript,ajax,facebook,Javascript,Ajax,Facebook,我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题。用户必须在我的系统中注册，但他可以将FB帐户与之关联。当一个FB帐户被关联时，我只保存facebook上的用户电子邮件地址当用户点击“登录facebook”（考虑到他已经登录facebook）时，我只需抓取其个人资料电子邮件，并将其发送到服务器，以验证是否有与该电子邮件相关联的用户。如果存在这样的用户，我将为该用户创建一个会话。这是获取用户电子邮件并将其发送到服务器的代码： function login() {

我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题。用户必须在我的系统中注册，但他可以将FB帐户与之关联。当一个FB帐户被关联时，我只保存facebook上的用户电子邮件地址

当用户点击“登录facebook”（考虑到他已经登录facebook）时，我只需抓取其个人资料电子邮件，并将其发送到服务器，以验证是否有与该电子邮件相关联的用户。如果存在这样的用户，我将为该用户创建一个会话。这是获取用户电子邮件并将其发送到服务器的代码：

function login()
{
    FB.api('/me',
    function (user)
    {            
        $.ajax(
        {
            url: "my_ajax_page.php",
            type: "POST",
            data: {controller: "MyController", action: "LinkEmail", fbmail: user.email},
            success: function (response)
            {
                if(response == 1)
                {
                    alert("Success!");
                }
            },
            error: function ()
            {
                alert("Error");
            }
        }
        );
    }
    );
}

这种方法存在一个很大的安全漏洞，任何人都可以创建一个脚本，向我的系统发送电子邮件，而这封“错误”的电子邮件将链接到当前登录的用户帐户：

function hacking()
{
    $.ajax(
    {
        url: "my_ajax_page.php",
        type: "POST",
        data: {controller: "MyController", action: "LinkEmail", fbmail: 'someonemail@mail.com'},
        success:
        function (response)
        {
            if(response == 1)
            {
                alert("Success!");
            }
        },
        error: function ()
        {
            alert("Error");
        }
    }
}

我可以使用什么方法来确保使用FB登录的安全性？

也许您应该将

签名请求作为另一个参数发送到Ajax调用。只有您的应用程序及其自己的`app\u secret
可以解码签名请求
，因此，如果您能够解码，则意味着呼叫来自有效（登录）的Facebook用户
您可以通过以下链接阅读有关已签名请求的更多信息：

我是如何让这个“签名请求”发送的？是否有我将如何使用它的上下文的工作示例？FBAPI只是展示了如何解码它，而不是如何获取它。我给出的链接详细说明了当签名请求传递到应用程序时的3种情况。您应该检查$\u请求['signed\u REQUEST']
变量。