1
我正在使用Facebook登錄SDK讓用戶使用Facebook登錄我的Android應用程序。我也使用Facbook的AccountKit SDK讓他們用電話/電子郵件登錄。Facebook使用oauth 2.0在Android上使用授權碼登錄
需要注意的是,Facebook登錄SDK不會讓我檢索oauth流中的認證碼,它只是直接傳遞給我訪問令牌,這在客戶端傳遞的安全性較差。例如,如果我在我的應用程序頁面的Facebook登錄設置中禁用客戶端登錄oauth,我無法使用Facebook應用程序登錄到我的應用程序。
然而,AccountKit SDK就沒有這樣的問題。
有沒有人知道是否有一種方法使用Facebook登錄SDK只檢索授權碼,當我按下「連接Facebook」按鈕?
我知道。但重點在於,將Access令牌本身傳遞給客戶端的安全性不如授權的身份驗證代碼安全。因爲如果有人專門窺探客戶端,他們可能能夠在分解傳輸層安全性後獲取訪問令牌。它違背了實現OAuth 2.0的目的。 –