我在使用“使用Facebook登录”实现我的第一个应用程序时遇到了一些问题.
用户必须在我的系统中注册,但他可以将FB帐户与其关联.当FB帐户关联时,我只保存来自Facebook的用户电子邮件地址.
当用户点击“使用facebook登录”时(考虑到他已登录Facebook),我只需抓取其个人资料电子邮件,然后将其发送到服务器以验证是否有与该电子邮件相关联的用户.如果存在此类用户,则为该用户创建会话.
这是抓取用户电子邮件并将其发送到服务器的代码:
function login()
{
FB.api('/me',
function (user)
{
$.ajax(
{
url: "my_ajax_page.PHP",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: user.email},
success: function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
);
}
);
}
这种方法存在很大的安全漏洞,任何人都可以创建一个脚本向我的系统发送电子邮件,这个“错误”的电子邮件将链接到当前登录的用户帐户:
function hacking()
{
$.ajax(
{
url: "my_ajax_page.PHP",
type: "POST",
data: {controller: "MyController", action: "LinkEmail", fbmail: 'someonemail@mail.com'},
success:
function (response)
{
if(response == 1)
{
alert("Success!");
}
},
error: function ()
{
alert("Error");
}
}
}
解决方法:
也许您应该将signed__request作为另一个参数发送到Ajax调用.只有具有自己的`app_secret的应用程序才能对signed_request进行解码,因此如果您能够对其进行解码 – 这意味着该呼叫来自有效(已登录)的Facebook用户.
您可以在此链接上阅读有关已签名请求的更多信息
https://developers.facebook.com/docs/authentication/signed_request/
