自分のアプリケーション(Webサイト)ユーザの認証ソースとしてFacebookを使用したいと思います。私は、アプリケーションに基本と電子メールのアクセス権以外の何かを持たせたくありません。したがって、私のアプリケーションは、たとえばユーザーの壁に公開できないようにする必要があります。言い換えれば、scopeパラメータの許容値のセットを制限したいので、この制限をアプリケーションの設定ページ(Facebookのサイト自体)で発生させたいと思います。OAuthの 'scope'パラメータ(スコープの制限)の許容許可セットを制限する方法
通常、これは簡単ですが、OAuth URL /コールのscopeパラメータに 'email'を指定するだけです。
しかし、この場合、ハッカーがアプリにアクセスしてOAuth呼び出しを変更してより多くの権限を指定する可能性があります。次に、疑いのないユーザーが通常は(または少なくとも可能性として)これらのアクセス許可を付与し、ハッカーがOAuthトークンを取得してそのユーザーの代わりに操作を実行できるようになります。
私は、この問題の理由を議論することに興味はありません。私のアプリケーションでは、scopeパラメータに特定の値のセットしか使用できないように指定する方法があります。理想的には、スコープ制限のこの仕様は、Facebook自体のアプリケーション設定ページで行う必要があります。
しかし、私はSAML、OpenIDまたはその他の認証専用メカニズム(ユーザーの電子メールアドレスを取得できない場合でも)を使用する代わりのソリューションに興味があります。私はRPXの使用には興味がありません。
注意:これは単純なものではなく、複雑な質問です。私は遠くに答えを探して、この質問の反対に何があるのかを見いだしただけです。
興味深い考えです。リアルタイムのドキュメントを見ると、変更要求が送信されたように見えますが、ユーザーが初めてアプリケーションを承認することはありません。 –
初めて/ me/permissionsを使用して確認できます。したがって、それらが正しいことを確認し、リアルタイムで確実に*正しい*状態を保ちます。 –