问题标题可能无法清除我的要求。
我的问题在使用Facebook / google / twitter的所有登录系统设计中非常普遍,我如何避免黑客生成虚假数据以在我的应用程序上注册。
以下是我想问的更详细信息:
当一个人按下“使用Facebook登录”并通过Facebook进行身份验证时,我的应用程序应该拥有此用户的电子邮件,user_id和access_token,然后我可以在我自己的数据库中使用这些数据来创建用户帐户并登录用户。 所以这是我无法弄清楚的。黑客可以轻松生成虚假的电子邮件/ user_id / access_token,并向我的服务器创建POST请求,充当有效的Facebook登录。如果是这种情况,人们可以轻松地从我的应用程序的数据库入侵所有其他链接/合并的帐户?我对吗?如果是这样,如何避免这种情况?如果没有,我错过了什么?
先谢谢!
答案 0 :(得分:1)
您可以使用该服务检查访问令牌的有效性,例如,使用Facebook时,常见的方法是调用此API:https://graph.facebook.com/app?access_token=XXXX并使用twitter这一个:https://api.twitter.com/1/account/verify_credentials.json?oauth_access_token=XXXX
几乎所有使用oauth的服务都有这样的东西!