[MySQL][PHP]logowanie przez facebook na stronie |
[MySQL][PHP]logowanie przez facebook na stronie |
6.09.2014, 08:27:01
Post
#1
|
|
Grupa: Zarejestrowani Postów: 206 Pomógł: 0 Dołączył: 26.09.2012 Ostrzeżenie: (0%) |
Czy rejestracja poprzez aplikacje facebook na stronie jest bezpieczna? tj. jak powinno zostać wygenerowane hasło które utworzy konto w bazie danych poprzez wyświetlenie z aplikacji ID i innych danych? nie można pobrać adresu e-mail a jedynie dana niezmienna w danych aplikacji facebooka dla każdego usera to chyba tylko numer id (np. imie czy data gdy użytkownik zmieni a będzie to stanowić część hasła, to się nie zaloguje)
Czy bezpieczne jest, że po uruchomieniu aplikacji tworzy nam się sesja lub ciasteczko zawierający numer id użytkownika i daje mu dostęp do tego konta? Ten post edytował maksik 6.09.2014, 08:28:59 |
|
|
6.09.2014, 12:15:19
Post
#2
|
|
Grupa: Zarejestrowani Postów: 468 Pomógł: 36 Dołączył: 14.12.2010 Ostrzeżenie: (0%) |
Jezeli w swoim systemie nie przewidujesz normalnego logowania to haslo tak naprawde jest niepotrzebne. Po zalogowaniu przez facebooka np wygeneruj sobie token ktory zapiszesz w bazie i w ciastku u uzytkownika i na jego podstawie mozesz sprawdzic czy uzytkownik jest zalogowany czy nie. Jezeli bys potrzebowal hasla to sadze ze mozesz dac np w opcji profilu mozliwosc wpisania hasla (nowe haslo, potwierdzenie) i to zeby zapisalo w bazie np zahashowane jakims whirlpoolem albo innym algorytmem hashujacym. Jezeli chodzi o unikalnosc uzytkownika to wiele systemow jest opartych jedynie na adresie email pobranym z facebooka (adres email rowniez jest unikatowy) ale wydaje mi sie ze lepsza metoda jest po prostu identyfikator facebookowy.
|
|
|
6.09.2014, 12:17:52
Post
#3
|
|
Grupa: Zarejestrowani Postów: 206 Pomógł: 0 Dołączył: 26.09.2012 Ostrzeżenie: (0%) |
email nie można pobierać już z aplikacji... chodzi mi jedynie o to właśnie czy ktoś mógłby się podszyć w jakiś sposób pod innego użytkownika znając jego id w aplikacji czy to fizycznie nie możliwe?
Ten post edytował maksik 6.09.2014, 12:18:46 |
|
|
6.09.2014, 12:19:45
Post
#4
|
|
Grupa: Zarejestrowani Postów: 468 Pomógł: 36 Dołączył: 14.12.2010 Ostrzeżenie: (0%) |
Logowanie przez facebooka jest bezpieczne, w tym przypadku o ktorym mowilem to jedyna mozliwosc podszycia wystepuje wtedy kiedy komus uda sie spreparowac token ktory masz zapisany w ciastku a 128 albo np 256 znakow nie jest latwo wykoncypowac
Poza tym id facebookowe jest jawne, da rade je wyciagnac nie pamietam juz jak sie nazywa to narzedzie. Jak poszukasz troche w google to znajdziesz. Wpisujesz tam url uzytkownika albo sama koncowke i zwraca Ci jego id Ten post edytował jacobson 6.09.2014, 12:20:55 |
|
|
6.09.2014, 12:20:32
Post
#5
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%) |
Czy rejestracja poprzez aplikacje facebook na stronie jest bezpieczna? To znaczy? Wszystko zależy od Twojej implementacji? tj. jak powinno zostać wygenerowane hasło które utworzy konto w bazie danych poprzez wyświetlenie z aplikacji ID i innych danych? nie można pobrać adresu e-mail a jedynie dana niezmienna w danych aplikacji facebooka dla każdego usera to chyba tylko numer id (np. imie czy data gdy użytkownik zmieni a będzie to stanowić część hasła, to się nie zaloguje) Ale po co Ci hasło? Ja zdecydowanie jestem fanem password-less method przy logowaniu za pomocą OAuth - szkoda, że wciąż zdarzają się ułomne implementacje, które tylko pobierają dane z FB, część wypełniają, a i tak musisz stworzyć nowe konto i logować się za jego pomocą. I co to znaczy, że nie można pobrać adresu email? -------------------- Google knows the answer...
|
|
|
6.09.2014, 12:23:11
Post
#6
|
|
Grupa: Zarejestrowani Postów: 468 Pomógł: 36 Dołączył: 14.12.2010 Ostrzeżenie: (0%) |
Chwila w google i znalazlem: http://graph.facebook.com/kierdarby (oczywiscie uzytkownik przykladowy sciagniety z google).
|
|
|
6.09.2014, 13:05:41
Post
#7
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%) |
Chwila w google i znalazlem: http://graph.facebook.com/kierdarby (oczywiscie uzytkownik przykladowy sciagniety z google). A co to w ogóle ma wspólnego z tym co pisałem? -------------------- Google knows the answer...
|
|
|
6.09.2014, 13:22:37
Post
#8
|
|
Grupa: Zarejestrowani Postów: 206 Pomógł: 0 Dołączył: 26.09.2012 Ostrzeżenie: (0%) |
użytkownik nie będzie wypełniał reszty dodatkowych pól by dokończyć rejestrację, gdyż adresu e-mail nie potrzebuje i tak, a aplikacje teraz nie pozwalają wyciągać jawnego adresu e-mail.
Podsumowując, czyli po zalogowaniu do aplikacji wystarczy dodać ciastko lub sesje z zapisanym id (zakodowanym) i sprawdzać tylko za jego pomocą czy jest użytkownik jest zalogowany? |
|
|
6.09.2014, 13:24:20
Post
#9
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%) |
Poczytaj sobie najpierw jednak to:
http://stackoverflow.com/questions/4727226...es-oauth-2-work http://marktrapp.com/blog/2009/09/17/oauth-dummies/ -------------------- Google knows the answer...
|
|
|
6.09.2014, 16:56:37
Post
#10
|
|
Grupa: Zarejestrowani Postów: 468 Pomógł: 36 Dołączył: 14.12.2010 Ostrzeżenie: (0%) |
pedro nie odpowiadalem Tobie tylko maksikowi
|
|
|
6.09.2014, 18:08:46
Post
#11
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%) |
pedro nie odpowiadalem Tobie tylko maksikowi Ale mnie to średnio obchodzi, bo oboje mylicie pojęcia i jakieś dyrdymały wygadujecie, a ja tylko prostuję Logowanie z FB rozwiązuje się za pomocą OAuth - a nie pobierania jakichś danych z OG. PS. Nie wiem czemu też gadacie takie głupoty odnośnie adresów email. Ten post edytował pedro84 6.09.2014, 18:09:08 -------------------- Google knows the answer...
|
|
|
8.09.2014, 09:14:55
Post
#12
|
|
Grupa: Zarejestrowani Postów: 206 Pomógł: 0 Dołączył: 26.09.2012 Ostrzeżenie: (0%) |
nawet gdy ustawiam scope dla pobierania adresu e-mail, nie mogę go pobrać, mógłbyś podzielić się działającym przykładem? czy to kwestia ustawienia aplikacji?(jest włączona)
|
|
|
8.09.2014, 11:25:48
Post
#13
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%) |
nawet gdy ustawiam scope dla pobierania adresu e-mail, nie mogę go pobrać, mógłbyś podzielić się działającym przykładem? czy to kwestia ustawienia aplikacji?(jest włączona) Mówimy o OAuth? Korzystasz z jakiejś biblioteki czy sam pisałeś? -------------------- Google knows the answer...
|
|
|
8.09.2014, 13:29:38
Post
#14
|
|
Grupa: Zarejestrowani Postów: 468 Pomógł: 36 Dołączył: 14.12.2010 Ostrzeżenie: (0%) |
a czy Oauth to jakis wymóg ? ja Ci nie narzucam rozwiazan wiec nie narzucaj ich innym
|
|
|
8.09.2014, 13:36:15
Post
#15
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%) |
a czy Oauth to jakis wymóg ? ja Ci nie narzucam rozwiazan wiec nie narzucaj ich innym A czy masz pojęcie o czym mówisz, bo zaczynam podejrzewać, że nie... Żadnego logowania z FB bez wykorzystania OAuth nie zrobisz. To, że sobie ściągniesz publiczne dane z OG, to jest zupełnie inna bajka. Radzę poczytać: https://developers.facebook.com/docs/facebook-login/v2.1 https://developers.facebook.com/docs/facebo...login-flow/v2.1 -------------------- Google knows the answer...
|
|
|
Wersja Lo-Fi | Aktualny czas: 27.04.2024 - 05:25 |