我正在开发一个只接受社交登录身份验证的网络应用程序(目前是Facebook和Google)。我已按照每个网站的说明成功实施了登录按钮,并使用与服务相关联的电子邮件地址作为其唯一标识符,并将其存储在PHP的$_SESSION
变量中以进行导航通过页面。
我的问题是,如果我遵循Facebook和Google的实施指南,我是否可以假设不存在漏洞。我假设使用SSL来防止中间人攻击是必须的。为了安全地处理每个用户的登录和会话,我还能做什么或避免什么呢?
感谢您的建议。
答案 0 :(得分:0)
OAuth本身非常安全。如果您已根据指南实施此功能,则应该没有任何问题。
除此之外,您只需确保安全地处理用户数据,正确验证和清理它。还要安全地存储会话数据。请务必遵循相关准则,以防止会话劫持和会话修复攻击。
https://www.owasp.org/index.php/Session_fixation https://www.owasp.org/index.php/Session_hijacking_attack
另请参阅OWASP网站,了解最新的安全更新。