我打算使用Facebook注册,允许人们使用他们的Facebook凭据注册/登录我的网站。
详情可见:http://developers.facebook.com/docs/plugins/registration/
文档说当用户登录Facebook时,Facebook会触发onLogin事件,我可以使用此事件将用户登录到我的网站。
我的问题是,如果我告诉我的网站在事件被触发时登录用户,攻击者是否通过欺骗我的javascript调用以任何用户身份登录都不容易?
在这种情况下,一般的最佳做法是什么?或者这件事本身是不安全的?
(或者我应该使用其他服务进行登录/注册而不是Facebook注册插件)?
答案 0 :(得分:1)
该事件是非常可欺骗的,但是在你获得ping之后,要实际记录某人,你应该使用JS SDK FB.login()来调用facebook以验证当前用户的cookie然后返回给你UID和access_token。