【发布时间】:2013-04-23 10:21:20
【问题描述】:
我使用facebook-php-sdk 来执行用户登录。在某些情况下,我使用用户在 Facebook 上的电子邮件作为登录密钥。我从中获得的用户数据:
$facebook->api('/me','GET');
这些数据安全吗?换句话说,有人可以改变它发送的数据吗?
为了描述更多假设如下:
我的网站上有一个管理员用户,他的电子邮件在我的 网站是:admin@mywebsite.com。有一个黑客有一个Facebook 邮箱账号:hacker@hk.hk。这个黑客能否注入 他的电子邮件在从我收到之前从 api 方法返回 网站到 admin@mywebsite.com,所以他将以 admin 身份登录?
【问题讨论】:
-
您能否将您的场景映射到 Facebook Id,而不是电子邮件?
-
@AnveshSaxena 这是非常好的建议。但是,有没有黑客能够修改 Facebook 发送的数据,因为即使使用了 Facebook ID,它也可能被更改,如果我的担心是真的!
-
用户可以更改他的电子邮件 ID,并在通过访问 Facebook 发送的消息对 ID 进行身份验证后更改为新的电子邮件 ID。但用户不能更改他/她的 Facebook ID。它保持不变。
-
@AnveshSaxena 更改 Facebook 帐户中的电子邮件需要通过发送到该电子邮件的消息进行确认。换句话说,第二个邮箱用户应该被视为所有者。
-
好吧,Facebook 和电子邮件这两个东西都可以被黑客入侵。只是我觉得电子邮件比 Facebook 帐户更容易受到影响。并且由于电子邮件可以被黑客入侵,因此黑客的电子邮件 ID 可以更改为您用于管理员的内容。尽管获取有关管理员 ID 的信息本身就是大部分工作已经完成的工作。
标签: facebook-php-sdk facebook-graph-api security facebook-php-sdk