ओएथ का उपयोग करके साइट (फेसबुक कहें) के लिए मुझे अपना एक्सेस टोकन प्राप्त हो जाने के बाद, यह रहस्य रखना कितना महत्वपूर्ण है? क्या किसी को दुर्भावनापूर्ण हो सकता है अगर किसी को पकड़ लिया जाए?ओएथ के पहुंच टोकन को गुप्त रखना कितना महत्वपूर्ण है?
मैं सोच रहा था कि कुकी या सत्र में टोकन को सहेजना बुरा विचार होगा या नहीं।
अद्यतन: यदि आप जावास्क्रिप्ट एसडीके से उपयोगकर्ता कनेक्ट कर रहे हैं, तो उपयोगकर्ता आईडी और एक्सेस टोकन पहले से ही आपकी साइट के लिए कुकीज़ में संग्रहीत किए जा रहे हैं। भेजे जा रहे http कुकीज़ की जांच करें। यदि वे नहीं हैं, तो FB.Init दस्तावेज़ीकरण की जांच करें, क्योंकि FB.Init में एक कुकी बूलियन पैरामीटर है जिसे आप सेट कर सकते हैं ताकि यह आपके लिए fbs_ {APPID} नामक कुकी बनाये। This उस कुकी के बारे में पोस्ट वार्ता।
ऐसा लगता है कि मुझे एक्सेस_टोकन मिलने के बाद मुझे विशेषाधिकार प्राप्त करने के लिए किसी अन्य कुंजी की आवश्यकता नहीं है .. इसके साथ गड़बड़ मुझे लगता है। धन्यवाद! –
यूली आप सही हैं। मैंने जवाब अपडेट किया। – bkaid
हां, एक्सेस टोकन आपके उपयोगकर्ता नाम/पासवर्ड के बराबर है। अधिकांश कार्यान्वयन एक समय के बाद पहुंच टोकन की समय सीमा समाप्त हो जाएंगे, लेकिन यह अभी भी मान्य है, लेकिन इसे एक गुप्त रखा जाना चाहिए।
शायद आप कुकी में स्टोर नहीं करना चाहते हैं, लेकिन एक सत्र ठीक है। विचार यह है कि कुकीज़ को "उपयोगकर्ता इनपुट" माना जाता है और अविश्वसनीय (जब तक हस्ताक्षरित कुकीज़ का उपयोग नहीं किया जाता), जिसका अर्थ है कि तकनीकी रूप से यह सत्यापित करने के लिए तकनीकी उपयोगकर्ता को आपके उपयोगकर्ता डेटाबेस से पूछना होगा कि एक्सेस टोकन इसका उपयोग करने से पहले मान्य है। यह पहले से ही अधिकांश वेब ढांचे में सत्र स्तर पर सत्र आईडी के लिए किया जाता है। –
वैधता के अलावा मैं सुरक्षा के बारे में अधिक चिंतित हूं। तो मैंने फेसबुक से प्राप्त एक्सेस_टोकन लिया और एक अलग कंप्यूटर पर कर्ल चला गया- एफ 'access_token = 162032318056 | 2.0r19NN8CJ3qiz2e0dA_G6w __। 3600.1288576800-6423201 | q7GD-dWTEvWoqEZjZ77Ga_ddhwA' -F 'message = test' https://graph.facebook.com/मुझे/फ़ीड इस कमांड ने मेरी दीवार पर टेस्ट पोस्ट किया। तो मैं किसी दुर्भावनापूर्ण उपयोगकर्ता को किसी कुकीज़ से पढ़ने में सक्षम होने के बारे में चिंतित हूं, किसी साइट से प्राप्त पहुंच टोकन को पकड़ता हूं, और उसके बाद किसी अन्य फेसबुक खाते पर विशेषाधिकार प्राप्त आदेश चलाने में सक्षम होता हूं। इस परीक्षण से ऐसा लगता है कि यह संभव है –
ब्रैड, क्या आपको कोई समाधान पता चला? सत्र या कुकी के अलावा, यह कहां स्टोर करेगा? प्रत्येक बार जब उपयोगकर्ता लॉग इन करता है और उसे पूछताछ करता है तो उसे डीबी में सहेजना सबसे अच्छा लगता है ... – Alexandra