Javascript facebook API登录的安全性
我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题。 用户必须在我的系统中注册,但他可以将FB帐户与之关联。当一个FB帐户被关联时,我只保存facebook上的用户电子邮件地址 当用户点击“登录facebook”(考虑到他已经登录facebook)时,我只需抓取其个人资料电子邮件,并将其发送到服务器,以验证是否有与该电子邮件相关联的用户。如果存在这样的用户,我将为该用户创建一个会话。 这是获取用户电子邮件并将其发送到服务器的代码:Javascript facebook API登录的安全性,javascript,ajax,facebook,Javascript,Ajax,Facebook,我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题。 用户必须在我的系统中注册,但他可以将FB帐户与之关联。当一个FB帐户被关联时,我只保存facebook上的用户电子邮件地址 当用户点击“登录facebook”(考虑到他已经登录facebook)时,我只需抓取其个人资料电子邮件,并将其发送到服务器,以验证是否有与该电子邮件相关联的用户。如果存在这样的用户,我将为该用户创建一个会话。 这是获取用户电子邮件并将其发送到服务器的代码: function login() {
function login()
{
FB.api('/me',
function (user)
{
$.ajax(
{
url: "my_ajax_page.php",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: user.email},
success: function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
);
}
);
}
这种方法存在一个很大的安全漏洞,任何人都可以创建一个脚本,向我的系统发送电子邮件,而这封“错误”的电子邮件将链接到当前登录的用户帐户:
function hacking()
{
$.ajax(
{
url: "my_ajax_page.php",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: 'someonemail@mail.com'},
success:
function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
}
我可以使用什么方法来确保使用FB登录的安全性?也许您应该将
签名请求作为另一个参数发送到Ajax调用。只有您的应用程序及其自己的`app\u secret
可以解码签名请求
,因此,如果您能够解码,则意味着呼叫来自有效(登录)的Facebook用户
您可以通过以下链接阅读有关已签名请求的更多信息:
我是如何让这个“签名请求”发送的?是否有我将如何使用它的上下文的工作示例?FBAPI只是展示了如何解码它,而不是如何获取它。我给出的链接详细说明了当签名请求传递到应用程序时的3种情况。您应该检查$\u请求['signed\u REQUEST']
变量。