[英]Is the Spring Social OAuth dance with Facebook secure?
我正在使用Facebook Spring Social庫。
連接安全時(針對中間攻擊者等),Spring Social圖書館與Facebook之間的OAuth舞蹈是否存在? 如果沒有,我需要怎么做才能使其安全?
我有點擔心的原因是Spring文檔提到Facebook使用OAuth 2,並且我相信OAuth 2已經簡化,它依靠HTTPS來保護OAuth舞蹈。
PS我的Web應用程序在HTTP上運行
是的,Spring Social在與Facebook合作時的API綁定以及OAuth2“舞蹈”中均支持基於HTTPS的OAuth2。 請注意https://github.com/SpringSource/spring-social-facebook/blob/master/spring-social-facebook/src/main/java/org/springframework/social/facebook/connect/FacebookOAuth2Template.java中的URL執行OAuth2“舞蹈”時使用HTTPS進行Spring Social的證據。
如果不這樣做,那么從安全角度考慮,這不僅是一個壞主意,而且根本行不通。 除非涉及到訪問令牌,否則Facebook不允許您使用其API,除非它通過HTTPS。 如果嘗試通過HTTP將訪問令牌傳遞給任何API端點(即使不安全,甚至訪問令牌是偽造的),也會收到錯誤消息。 例如,將您的瀏覽器指向http://graph.facebook.com/gopivotal?access_token=fasddasf ,您將收到錯誤提示。
是的,Spring Social在與Facebook合作時支持HTTPS。 如果沒有,那將根本無法工作。
我們正在廣泛使用它(一個大項目)。 我們考慮了幾種處理此功能的方法,最后得出結論:彈簧可以安全使用。
實際上,我們的系統部分是用JavaScript編寫的,並在NodeJS上運行,然后將其轉換為Java,因為我們對Spring的實現更加自信。
另外,我認為他們在比較OAuth 1/2時談論的簡化部分就是舞蹈。 往返次數較少。
為什么spring-social的ConnectController通過POST啟動OAuth 2“舞蹈”?
[英]Why does spring-social's ConnectController start the OAuth 2 “dance” with a POST?
使用Spring Social為Twitter和Facebook創建OAuth Flow
[英]Create OAuth Flow for Twitter and Facebook with spring social
Spring Social Facebook:“OAuth2'狀態'參數不匹配”
[英]Spring Social Facebook: “The OAuth2 'state' parameter doesn't match”
Spring Social Facebook OAuth-使用api v2.5不能獲取所有數據
[英]Spring social Facebook oauth - getting not all data with api v2.5
處理OAuth2回調時出現異常(null)。 Spring Social facebook登錄
[英]Exception while handling OAuth2 callback (null). Spring Social facebook login
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
