我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题。 用户必须在我的系统中注册,但他可以将FB帐户与其关联。当FB帐户关联时,我只保存来自Facebook的用户电子邮件地址。
当用户点击“使用facebook登录”时(考虑到他已登录facebook),我只需抓取其个人资料电子邮件,然后将其发送到服务器以验证是否有与该电子邮件相关联的用户。如果存在此类用户,则为该用户创建会话。 这是抓取用户电子邮件并将其发送到服务器的代码:
function login()
{
FB.api('/me',
function (user)
{
$.ajax(
{
url: "my_ajax_page.php",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: user.email},
success: function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
);
}
);
}
这种方法存在很大的安全漏洞,任何人都可以创建一个脚本向我的系统发送电子邮件,这个“错误”的电子邮件将链接到当前登录的用户帐户:
function hacking()
{
$.ajax(
{
url: "my_ajax_page.php",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: 'someonemail@mail.com'},
success:
function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
}
我可以使用哪种方法来确保使用FB登录?
答案 0 :(得分:3)
也许您应该将signed__request作为另一个参数发送到Ajax调用。只有具有自己的`app_secret的您的应用程序才能解码signed_request,因此如果您能够对其进行解码 - 这意味着该来自有效(已登录)的Facebook用户。
您可以在此链接上阅读有关已签名请求的更多信息:
https://developers.facebook.com/docs/authentication/signed_request/