我的Facebook应用程序的秘密最近是由恶意方获得的。他们随后批准了我的应用程序用于数千个用户帐户,无论是他们创建的还是他们也获得了恶意的访问权限。然后他们开始代表这些人发布垃圾邮件,但也代表我的应用程序(例如Spotify发布你喜欢的歌曲,它仍然是你发布的帖子,但它是通过Spotify应用程序而不是明确地来自你。)
我已经更改了我的应用程序密码,但似乎已经获得的现有令牌仍然有效,因为垃圾邮件一直在发布。
对于有效和无效的用户,有没有办法让我的应用程序的所有访问令牌无效(我无法区分这两者)?这是解决这个烂摊子的正确方法吗?
答案 0 :(得分:1)
我在Facebook Docs的Login Security Documentation上找到了一些有趣的东西。从理论上讲,如果您要将应用类型设置更新为Native / Desktop,Facebook将停止接受来自令牌的呼叫,这对您的有效和无效用户都适用。
我们建议只能直接使用App Access Tokens 您的应用程序的服务器,以提供最佳的安全性。对于本地人 应用程序,我们建议应用程序与您自己的服务器进行通信 然后,服务器使用App向Facebook发出API请求 访问令牌。
出于这个原因,如果你的应用类型'在高级 App Dashboard中的设置设置为我们假设的Native / Desktop 您的本机应用程序包含应用程序密钥或应用程序访问令牌 二进制,我们不允许使用App Access Token签名的呼叫 继续。 API的行为就像没有提供访问令牌一样。
以下是您可以根据here
执行的一些预防措施更改此设置
高级>流式传输URL安全性,这将阻止您的应用程序 发布任何不会指向其拥有的域名的网址。
此外,您还可以查看这些设置:
IP地址白名单
我们允许您指定必须使用的IP地址白名单 更新应用程序设置。这有助于通过确保来防止攻击 只有使用公司IP地址的开发人员才能更新应用程序 设置。
可以在应用设置的“高级”标签中设置此白名单 App Dashboard。
指定后,任何应用更新请求都来自非白名单 IP地址被拒绝。此白名单适用于使用的更新 API以及UI。
还有关于更新通知的信息,您可以关注。