Facebook Javascript SDKセキュリティ

Question

私はfacebook javascript sdkを使用して、Webサイトのユーザーログイン機能を提供しています。

私がしたいのは、ログインしたユーザーのユニークなfacebook idを取得し、idを使ってmysqlデータベースとの間でデータをフェッチ/フェッチすることです。

しかし、私は本当にこれが非常に安全だとは思わない。私はクレジットカードの詳細などのような敏感なものは保管していませんが、実際に可能な限り安全であることが明らかです。

私の恐れは、javascriptが何であるかによって、誰かがFacebookのIDを偽って、必要なものを取り出してしまうということです。

私はphp sdkがこの問題の解決策を提供していることを知っていますが、JavaScriptの方が好きです。なぜなら、主に使いやすいからです。怠け者）。

だから、私の質問は以下のとおりです。

1. このセットアップは、私はそれがあるかもしれないと感じほど安全ではないでしょうか？

2. このようなシステムのセキュリティを改善するために、php sdkに切り替える以外に何かできることはありますか？

ありがとう！

Answer 1

FacebookのIDはかなり難しいです（ほとんどのユーザーは自分でしか知りません）。

データベースから情報を取得しようとしていると心配している場合は、データベースに格納されている情報を追加します（ユーザーが自分自身で取得できないものはありません）。アクセストークン、または各行への署名付きリクエスト、およびFacebookのIDを使用してデータを取得します。セキュリティが大幅に向上します。

EDIT

ユーザーからの署名要求を取得するいくつかの機会があります。リクエストは使用がが許可を受け入れ、そしてあるた場合にのみ、ユーザIDが含まれています署名

* A signed_request is passed to Apps on Facebook.com when they are loaded into the Facebook environment 
* A signed_request is passed to any app that has registered an Deauthorized Callback in the Developer App whenever a given user removes the app using the App Dashboard 
* A signed_request is passed to apps that use the Registration Plugin whenever a user successfully registers with their app 

は、ユーザーがアプリケーションに入り、許可を受け入れると（署名された要求にIDが含まれないことを意味する）、再度渡されません。この節約のためにアクセストークンが良いアイデアかもしれません。 signed request

また、署名されたリクエストはurl（param = "signed_request"）にあります。私は常にC＃で解析しますが、少なくともJavaScriptを使用して1つを取得できると確信しています

Answer 2

カールを使用して原点をスプーフィングするのはかなり簡単です。私はFacebookがこれを可能にするもう一つのマカニズムを持っていると思う。コードを調べると、iframeを生成してリクエストを通過させるように見えます。私が推測しなければならないのは、Facebookドメインからのリクエストのみを設定し、iframeをホワイトリストに載っているドメインのページに埋め込むことができるようにすることです。