如何通过 javascript 验证 facebook 用户的安全性?

【问题标题】:How authenticate a facebook user secure via javascript?如何通过 javascript 验证 facebook 用户的安全性?
【发布时间】:2013-01-06 22:12:46
【问题描述】:

我需要一个始终相同的唯一 facebook 用户 ID 代码,因此我可以将其与 FB 用户 ID 一起保存在我的网站数据库中,以便用户通过 facebook 进一步登录。 不幸的是,authResponse 只包含临时 ID:

authResponse: {
   accessToken: '...', // expire
   expiresIn:'...',
   signedRequest:'...', // expire
   userID:'...'
}

我无法仅使用 FB 用户 ID 登录用户...这太不安全了,因为我必须通过 javascript 将 authResponse 信息发送到 php。 (PHP SDK 无法在我的网络空间上运行 [无 root 访问权限])。

有什么解决办法吗?或者也许是其他方式在不使用 PHP SDK 的情况下登录/验证 Facebook 用户进入我的网站?

感谢您的帮助!

编辑:
提交我的问题后,我发现了这个类似的帖子:How to securely authorize a user via Facebook's Javascript SDK

提问者提到了一种在后续步骤中通过 facebook 通过 cookie 提供的加密信息对用户进行身份验证的方法。
我现在将尝试解密此 cookie 信息,就像我在“通过 facebook 注册”部分所做的那样。使用我的 appID 和 securityID。

【问题讨论】:

  • "PHP SDK 不能在我的网站上运行 [没有 root 访问权限]" --- 你为什么认为 FB PHP SDK 需要 root?
  • 哦,误会了……我在我的网站上测试 PHP SDK,出现一个 php 错误:“Facebook 需要 CURL PHP 扩展”。要安装这个扩展,我需要 root 访问权限:P

标签: javascript facebook authentication login facebook-javascript-sdk


【解决方案1】:

通过加密的 cookie 信息验证 facebook 用户的方法很好:

代码如下:

// PHP script which get visitor's FB ID over $_GET['fbid'] (for example through ajax or javascript redirect)
if(isset($_GET['fbid'])) {
    define('FACEBOOK_APP_ID', 'YOUR APP ID');
    define('FACEBOOK_SECRET', 'YOUR SECRET ID');

    function parse_signed_request($signed_request, $secret) {
        list($encoded_sig, $payload) = explode('.', $signed_request, 2);

        // decode the data
        $sig = base64_url_decode($encoded_sig);
        $data = json_decode(base64_url_decode($payload), true);

        if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
                error_log('Unknown algorithm. Expected HMAC-SHA256');
                return null;
        }

        // check sig
        $expected_sig = hash_hmac('sha256', $payload, $secret, $raw = true);
        if ($sig !== $expected_sig) {
            error_log('Bad Signed JSON signature!');
            return null;
        }

        return $data;
    }

    function base64_url_decode($input) {
        return base64_decode(strtr($input, '-_', '+/'));
    }

    // Check if Facebooks cookie is set
    if(isset($_COOKIE['fbsr_' . FACEBOOK_APP_ID])) {
        $response = parse_signed_request($_COOKIE['fbsr_' . FACEBOOK_APP_ID], FACEBOOK_SECRET);

        // Check if userID sent by visitor is the same like decrypted userID given from cookie
        if($response['user_id'] == $_GET['fbid']) {
            // Login script here
            echo "Successfully authenticated!";
        } else {
            // userID sent by visitor is modified
            echo "Please don't use others FB ID!";
        }
    } else {
        // Facebook cookie is not set
        echo "Please allow cookies!";
    }

}

【讨论】:

    猜你喜欢
    • 2012-12-20
    • 1970-01-01
    • 2015-10-31
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-11-08
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode