我想就Facebook SSO(或任何SSO提供商)的安全问题得到您的意见。
当用户在移动设备上执行FB SSO并执行登录到我们的应用程序时,我们会将从FB移动应用程序收到的令牌传递到我们的服务器,并且服务器会向FB发出请求以验证该令牌是有效的,这不是一个被盗的请求。
这是第一次完成。从理论上讲,从现在开始每次调用我们的服务器时,我们仍然需要调用FB服务器并继续验证令牌,因为Facebook是我们的身份服务器。这显然不太理想,因为我们服务器的每个请求都不能与FB服务器请求不断同步,性能方面和许多其他原因。
但是,从安全的角度来看,尽管所有请求都是SSL,但我们的服务器并不知道此用户令牌仍然有效,并且只有这样才能确保它调用FB服务器。 (一个很好的例子是用户进行SSO,然后在FB设置上删除了应用程序。)
您对此问题有何看法?