Sobald ich mein Zugriffs-Token für eine Website (sagen wir Facebook) mit OAuth erhalten habe, wie wichtig ist es, dies geheim zu halten? Könnte etwas Böswilliges passieren, wenn jemand einen davon ergreift?Wie wichtig ist es, OAuths Zugriffstoken geheim zu halten?
Ich fragte mich, ob es eine schlechte Idee wäre, das Token in einem Cookie oder einer Sitzung zu speichern.
Update: Wenn Sie den Benutzer eine Verbindung mit dem Javascript SDK haben, werden die Benutzer-ID und Zugriffstoken bereits in Cookies für Ihre Website gespeichert. Überprüfen Sie die http-Cookies, die gesendet werden. Wenn dies nicht der Fall ist, überprüfen Sie die Dokumentation FB.Init, da FB.Init über einen booleschen Parameter für Cookies verfügt, den Sie festlegen können, damit ein Cookie für Sie namens fbs_ {APPID} erstellt wird. This Post spricht über diesen Cookie.
Es scheint wie sobald ich das access_token Ich brauche keine anderen Schlüssel, um privilegierte Dinge zu tun .. Ill Chaos herum damit mehr denke ich. Vielen Dank! –
Yuy Sie haben Recht. Ich habe die Antwort aktualisiert. – bkaid
Ja, das Zugriffstoken entspricht Ihrem Benutzernamen/Passwort. Bei den meisten Implementierungen wird das Zugriffstoken nach einiger Zeit ablaufen, aber solange es noch gültig ist, muss es geheim gehalten werden.
Sie möchten vielleicht nicht in einem Cookie speichern, aber eine Sitzung ist in Ordnung. Die Idee ist, dass Cookies als "Benutzereingaben" betrachtet werden und unzuverlässig sind (es sei denn, sie verwenden signierte Cookies), was bedeutet, dass Sie technisch Ihre Benutzerdatenbank abfragen müssen, um zu bestätigen, dass das Zugriffstoken gültig ist, bevor Sie es verwenden. In den meisten Web-Frameworks ist dies bereits für Sitzungs-IDs auf Sitzungsebene erfolgt. –
Abgesehen von der Gültigkeit bin ich mehr besorgt über die Sicherheit. Also nahm ich das access_token, das ich von facebook bekommen habe und auf einem anderen Computer gelaufen ist. "Access_token = 162032318056 | 2.0r19NN8CJ3qiz2e0dA_G6w __. 3600.1288576800-6423201 | q7GD-dWTEvWoqEZjZ77Ga_ddhwA '-F' message = TEST 'https://graph.facebook.com/me/feed Dieser Befehl hat TEST an meiner Wand gepostet. Daher mache ich mir Sorgen, dass ein böswilliger Benutzer die Cookies einiger anderer lesen, das Zugriffstoken von einer Site abrufen und dann privilegierte Befehle auf einem Facebook-Account ausführen kann. Von diesem Test sieht es so aus, als wäre das möglich –
Brad, hast du eine Lösung gefunden? Abgesehen von einer Sitzung oder einem Cookie, wo sonst würde es gespeichert werden? Speichern Sie es in DB jedes Mal, wenn Benutzer sich anmeldet und dann Abfragen es scheint eine umständliche Idee bestenfalls ... – Alexandra