我有一个facebook fbml应用程序和一个Web应用程序。我希望我的Web应用程序用户能够添加我的Facebook应用程序。看起来很简单,对吧?
目前,我通过向我网站中的画布页面链接添加一个参数来建立连接。例如,我有一个链接,上面写着“添加我们的fbook应用程序”,链接到http://apps.facebook.com/our_fbook_application?suid=786432878923
suid是我网站上登录用户的uid。将此添加到画布链接参数允许我将他们的站点uid连接到我的站点上的fbook uid。这样当来自facebook的请求进入时,我可以在建立连接后仅根据fbook uid对它们进行身份验证。
这似乎是一个安全问题。我认为攻击者可以通过调用http://apps.facebook.com/our_fbook_application?suid=x登录他们的Facebook帐户并猜测用户ID,当x对应我网站上的suid时,他将通过身份验证以查看该用户的数据。
这个Facebook应用程序用户与网站用户的连接似乎应该是非常普遍的做法,但这些天我能找到的只是facebook连接示例,我还没有支持。
有人可以指导我将Facebook应用用户连接到我的网站用户吗?如果有人可以使用facebooker gem在Rails中做主要的奖励积分。
谢谢!
答案 0 :(得分:1)
不要将suid作为变量传递。
相反,在你的后端,将FB uid与suid关联起来。
当用户通过网站访问应用程序时,他/她将必须登录(可能通过fb connect?)。
当用户通过FB访问应用程序时,您的页面应该能够确定用户的fbuid并将其映射到正确的suid并将用户登录到您的站点。