我们为我们的网站using these instructions实施了JavaScript登录插件,但现在遇到问题,确保登录安全。
特别是,我们要检查javascript发送回服务器的用户ID和电子邮件地址是否(a)真正授权和(b)准确。否则,似乎任何能够获得应用程序唯一用户ID的人都可以轻易冒充其他人。更糟糕的是,如果我们设置一种合并帐户的方法,他们可以使用开发者控制台来操纵JSON并使用他们自己的用户ID发送现有的电子邮件。
是否有一种简单的方法可以在服务器端查询LinkedIn以确认授权和详细信息,或者我们是否真的需要在服务器端进行整个重新身份验证like this?
这似乎是一个巨大的重复工作,或没有它,一个很大的安全漏洞。我错过了一些明显的东西吗?