我想将Faccbook登录合并到我的应用程序中,但我首先尝试理解Facebook关于访问令牌过期的安全性概念。
1)据我所知,访问令牌的目的是提供“无国籍”。 Facebook声明访问令牌有效一两个小时。如果有人很早就窃取了访问令牌,那么他们能够使用这个访问令牌作为受害者几个小时的电话吗?
2)第一个问题的延伸,Facebook还提供有效期为2个月的长期访问令牌。如果这个令牌被盗,攻击者可以在2个月内成为受害者吗?
3)如果访问令牌被盗,如果它是无状态的,你将如何使访问令牌无效/终止(技术上如何完成)?
答案 0 :(得分:1)
1)是的,如果有人偷了令牌,他就能用它打电话。但您可以使用appsecret_proof保护它们 - 在大多数情况下,您在使用官方SDK时无需担心访问令牌。
2)是的。
3)Ther是关于该问题的其他主题,并附有答案,例如:Invalidating a facebook access token?