Javascript Facebook连接帮助
根据facebookapi文档,大部分工作都是通过javascript处理的 这意味着所有处理都完成了,然后前端检查用户是否连接到Facebook/授权。对吧? 我的问题是: 假设一个用户第一次访问我的站点。 他点击“facebook连接”。javascript验证他的真实性,并将其“重定向”到我服务器上的另一个页面。从那时起,我怎么知道用户实际上已经通过了我的网站的身份验证,因为一切都是在前端完成的 我认为这是正确的,但是否存在一些安全问题: -用户单击登录后,Facebook会重定向到我网站上的一个页面。他们还创建了一个带有特定“Facebook ID”的cookie,该cookie只能从该用户处检索。我的备份将“读取”cookie并获取该ID…然后将其与我的用户ID关联 如果这是正确的…那就没有意义了。如果有人偷了别人的“facebook ID”,然后伪造了饼干呢?然后我的后端看到cookie并认为它是真正的用户Javascript Facebook连接帮助,javascript,python,facebook,Javascript,Python,Facebook,根据facebookapi文档,大部分工作都是通过javascript处理的 这意味着所有处理都完成了,然后前端检查用户是否连接到Facebook/授权。对吧? 我的问题是: 假设一个用户第一次访问我的站点。 他点击“facebook连接”。javascript验证他的真实性,并将其“重定向”到我服务器上的另一个页面。从那时起,我怎么知道用户实际上已经通过了我的网站的身份验证,因为一切都是在前端完成的 我认为这是正确的,但是否存在一些安全问题: -用户单击登录后,Facebook会重定向到我网站
我困惑了吗?如果我感到困惑,请帮助我重新组织并告诉我情况如何。Facebook Connect使用一种聪明(或疯狂,取决于您的观点)的黑客技术,从浏览器中实现您的网站与Facebook的身份验证系统之间的跨站点通信 其工作方式如下:
xd_receiver.htm
,但可以随意命名iframe
的src
元素,这用于与页面上托管的跨域通信文件进行通信iframe
中插入另一个嵌套的iframe
,可以实现Facebook方向上的任何进一步通信——第二级iframe
位于Facebook的服务器上,而不是您的服务器上有关使用
iframe
s的跨域通信机制的更详细解释,请参阅MSDN。Facebook Connect使用一种聪明(或疯狂,取决于您的观点)的黑客技术,从浏览器中实现站点与Facebook认证系统之间的跨站点通信
其工作方式如下:
xd_receiver.htm
,但可以随意命名iframe
的src
元素,这用于与页面上托管的跨域通信文件进行通信iframe
中插入另一个嵌套的iframe
,可以实现Facebook方向上的任何进一步通信——第二级iframe
位于Facebook的服务器上,而不是您的服务器上if($_SESSION['facebookSignature'] == reGeneratedSignature){
// save to database
}else{
// go away I don't trust you
}