在客户端源代码中暴露应用程序特定的Facebook好友用户ID 会使我的app / my apps用户面临任何可利用的安全/垃圾邮件风险吗?
公开数据的示例:
我正在使用带图API的user_friends权限请求facebook好友列表。此列表返回每个朋友的名称和应用程序特定用户ID。
我允许用户选择将向他们发送应用内邀请的朋友。
识别此朋友的最佳方式是应用特定用户ID,这意味着它将显示在我的客户端源代码中。
我能想到的漏洞:
使用发送消息对话框链接(https://developers.facebook.com/docs/sharing/web#sendingmessages),可能允许某人使用我的应用ID(可以通过Facebook登录轻松找到)和暴露的用户ID预先填充到字段以假装是我的应用程序试图垃圾邮件他们的朋友。
公开数据的解决方法:
将好友列表存储在db表中,并为每个关系生成一个新的无害ID。
我不愿意这样做,因为我必须每次都更新此列表,因为好友列表会定期更改。
答案 0 :(得分:3)
在客户端公开这些App Scoped ID是完全安全的。您只能使用一个ID预填充发送对话框,并且该ID必须是您的朋友。所以你无法真正利用它。
ID通常是安全的(应用程序ID,用户ID,...)。您只需要小心App Secret和Access Tokens。