我正在使用FB js SDK来允许在我的平台上登录。用户允许所需的访问权限,并将其ID保存在我的数据库中。数据通过AJAX发送到我的服务器。由于登录是使用FB,我只能通过他的ID识别用户。
现在,让我说我知道某人FB ID,我知道他在我的平台上有一个帐户。在运行时,我可以将他的ID放在auth请求中并获得该用户的合法会话。怎么可以避免?
答案 0 :(得分:1)
首先,这些是App Scoped ID,不太可能有人知道授权你的App的用户的ID,因为它不是“真正的”ID。
话虽如此,您可以(并且应该)将用户令牌发送到服务器,并通过使用该令牌调用/me端点来确认ID。您还应该使用appsecret_proof进行API调用,可以在文档中找到更多信息:https://developers.facebook.com/docs/graph-api/securing-requests