我在developers.facebook.com上创建了一个Android示例应用程序,但我还没有在设置中提供任何密钥哈希。现在,如果我尝试使用fb app登录我的示例,则会提供无效的密钥hasherror,这是预期的。
但是,如果我禁用Facebook应用程序,它会默认打开webview叠加层,登录工作正常,没有任何错误。这不是一个安全问题,因为如果任何黑客可以访问我的app_id,他可以使用相同的app_id创建自己的应用程序,并使用它来登录fb。如果任何人都能解释这个安全问题会很有帮助。
答案 0 :(得分:1)
使用webview,由于SDK是开源的,因此无法强制发送密钥哈希,任何人都可以修改源代码(这意味着它们可以覆盖SDK生成的任何密钥哈希)。 / p>
在登录期间,用户仍会看到他们授权的应用的名称和图标,并且可能会注意到他们授权的那个人不是他们当前打开的那个。从webview获取的访问令牌也可能存在一些限制。