我已经有一段时间了,它使用了一个自定义登录流程,该流程利用了 json Web token (基于 Java 的前端服务器)。出于方便的原因,我现在希望能够允许用户通过 Facebook 登录。读取 Facebook 登录流程,用户输入他们的 FB 凭据,然后 Facebook 返回到设备(如果成功的话)以及其他信息,如电子邮件、范围等。当这些信息返回到设备时,我会将电子邮件地址发送到我的服务器并检查它是否是当前用户。如果是,我会允许他们继续,但如果他们是新的,他们将需要添加一些额外的信息。我看到的问题是用户不能在将其发送到我的服务器之前在客户端欺骗电子邮件地址吗?我怎么知道进入我的应用的电子邮件是发给为我验证的用户的。
我已阅读他们关于将 FB 与现有登录系统(https://developers.facebook.com/docs/facebook-login/multiple-providers 但似乎找不到)和 android/iOS 登录集成的文档,但找不到如何防止这种常见情况。
The problem I am seeing is can't the user just spoof the email address on the client side before sending it my server?
然后不要发送电子邮件地址 - 发送访问 token ,并在服务器端请求他们的数据(包括电子邮件地址)。
Facebook 在其文档中提供了大量资源来处理此类安全问题。检查 f.e. https://developers.facebook.com/docs/facebook-login/manually-build-a-login-flow/v2.4#confirm和 https://developers.facebook.com/docs/facebook-login/security
关于android - 将 facebook 与我当前的登录系统移动应用欺骗集成?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31662208/
| 欢迎光临 OGeek|极客世界-中国程序员成长平台 (http://ogeek.cn/) | Powered by Discuz! X3.4 |