我對閃存和其他Web技術的瞭解並不是那麼好,但我想知道,具有自己的應用程序API(例如Facebook)的站點如何驗證應用程序的調用?我並不熟悉Facebook API,但Vkontakte(類似網站)使用密鑰,會話ID和方法參數來生成查詢。爲什麼不可能讓有惡意的人在應用程序運行時計算出這些參數,並通過改變數據包發送完全不同的查詢?我有點計劃爲Vkontakte編寫應用程序,但我不明白應用程序如何受到保護。如果有人能夠向我推薦關於這些問題的任何文獻,我也將非常感激。應用程序調用認證
Q
應用程序調用認證
0
A
回答
3
安全性在於您的共享祕密不應該通過網絡傳輸。例如,使用Facebook,您可以使用自己的應用密碼驗證服務器上的cookie。如果您沒有在服務器上進行任何驗證,那麼訪問令牌或任何不安全的東西都是正確的。但是,要記住的是,在這些網站中,訪問令牌與單個用戶相關聯。所以,即使該人更改了Cookie或任何訪問令牌仍然只有訪問單個Facebook帳戶的權限。所以這個人會爲自己的帳戶做惡意的東西。
因此,對於flash或javascript的情況,您總是假設訪問令牌和cookie數據不安全。只有在您驗證Cookie數據以確保Cookie來自合法來源之後,您才需要在服務器上執行任何對安全至關重要的事情。我假設vkontakte的功能非常類似。
再一次,最重要的是永遠不要在您的服務器之外傳輸您的密鑰。
相關問題
- 1. Lumen應用程序認證
- 2. Facebook應用程序認證
- 3. android應用程序認證
- 4. 用於後臺應用程序的Facebook應用程序認證
- 5. ASP.NET Web API調用控制檯應用程序認證標頭
- 6. Facebook應用程序認證問題
- 7. Firefox OS認證應用程序
- 8. 瞭解Android應用程序認證
- 9. 雅虎應用程序認證Laravel
- 10. IBM ICN跨應用程序認證
- 11. Rails應用程序與CAS認證
- 12. 僅限我的應用程序認證
- 13. Android應用程序和Apache認證
- 14. 退出應用程序 - Windows Phone認證
- 15. Cocos2dx iOS認證應用程序崩潰
- 16. 認證Facebook應用程序 - PHP
- 17. Azure API應用程序認證
- 18. WCF - 第三方應用程序認證
- 19. Gdata python谷歌應用程序認證
- 20. Azure的功能應用和Web應用程序的認證
- 21. 安全認證:Rails的Web應用程序和iOS應用
- 22. 應用認證
- 23. ADFS,Web應用程序代理,應用程序認證,分割DNS
- 24. 如何用Facebook用戶認證C#Web應用程序?
- 25. 需要iOS應用程序中的默認SSL證書驗證
- 26. WSO2 IS:應用程序認證程序和碳認證程序之間的區別
- 27. 使用基本認證針對另一個應用程序驗證Springboot應用程序
- 28. 默認應用程序
- 29. Web2py默認應用程序
- 30. Foursquare的認證要求用戶打開應用程序