Facebook访问令牌到期安全性

时间:2015-06-08 17:10:36

标签: facebook facebook-graph-api oauth oauth-2.0 access-token

我想将Faccbook登录合并到我的应用程序中,但我首先尝试理解Facebook关于访问令牌过期的安全性概念。

1)据我所知,访问令牌的目的是提供“无国籍”。 Facebook声明访问令牌有效一两个小时。如果有人很早就窃取了访问令牌,那么他们能够使用这个访问令牌作为受害者几个小时的电话吗?

2)第一个问题的延伸,Facebook还提供有效期为2个月的长期访问令牌。如果这个令牌被盗,攻击者可以在2个月内成为受害者吗?

3)如果访问令牌被盗,如果它是无状态的,你将如何使访问令牌无效/终止(技术上如何完成)?

1 个答案:

答案 0 :(得分:1)

1)是的,如果有人偷了令牌,他就能用它打电话。但您可以使用appsecret_proof保护它们 - 在大多数情况下,您在使用官方SDK时无需担心访问令牌。

2)是的。

3)Ther是关于该问题的其他主题,并附有答案,例如:Invalidating a facebook access token?