在Facebook api的春季社交活动中,为什么facebook.isAuthorized总是返回true?
我有一个具有Facebook登录功能的angular2应用程序。当用户验证自己时,我会将此accessToken发送到服务器。
服务器程序使用Springboot,我使用spring social。
我想查看此用户是否已获得授权。所以我打电话给:
facebook.getToken()返回客户端生成的访问令牌。当我调用facebook.isAuthorized()时,它返回true ...正如预期的那样,因为我正在发送真实数据。
虽然我发送的伪造数据如下:
(本例中的令牌由我制造)到同一个API端点 facebook.isAuthorized返回true。这是意料之外的,因为在这种情况下我正在制作一个accessToken。
春天 - 社会依赖是这样的:
为什么isAuthorize对于真实的访问令牌以及假的令牌都返回true?如何检查我的angular2应用程序的用户是否已通过服务器端的Facebook验证自己?
1 个答案:
答案 0 :(得分:0)
可以在https://github.com/spring-projects/spring-social/blob/a6bf2626ee8ac81765c416029ca033affc94fc6c/spring-social-core/src/main/java/org/springframework/social/oauth2/AbstractOAuth2ApiBinding.java#L87找到isAuthorized() for FacebookTemplate的实现。
使用此源非常明显isAuthorized()仅检查是否提供了任何访问令牌。
要验证您的令牌,您可以运行任何需要授权的请求(例如userOperations().getUserPermissions())并检查InvalidAuthorizationException,或者您可以在how to verify facebook access token?中找到一些灵感。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?