[MySQL][PHP]logowanie przez facebook na stronie Opcje

[maksik]

Czy rejestracja poprzez aplikacje facebook na stronie jest bezpieczna? tj. jak powinno zostać wygenerowane hasło które utworzy konto w bazie danych poprzez wyświetlenie z aplikacji ID i innych danych? nie można pobrać adresu e-mail a jedynie dana niezmienna w danych aplikacji facebooka dla każdego usera to chyba tylko numer id (np. imie czy data gdy użytkownik zmieni a będzie to stanowić część hasła, to się nie zaloguje)

Czy bezpieczne jest, że po uruchomieniu aplikacji tworzy nam się sesja lub ciasteczko zawierający numer id użytkownika i daje mu dostęp do tego konta?

Ten post edytował maksik 6.09.2014, 08:28:59

[jacobson]

Jezeli w swoim systemie nie przewidujesz normalnego logowania to haslo tak naprawde jest niepotrzebne. Po zalogowaniu przez facebooka np wygeneruj sobie token ktory zapiszesz w bazie i w ciastku u uzytkownika i na jego podstawie mozesz sprawdzic czy uzytkownik jest zalogowany czy nie. Jezeli bys potrzebowal hasla to sadze ze mozesz dac np w opcji profilu mozliwosc wpisania hasla (nowe haslo, potwierdzenie) i to zeby zapisalo w bazie np zahashowane jakims whirlpoolem albo innym algorytmem hashujacym. Jezeli chodzi o unikalnosc uzytkownika to wiele systemow jest opartych jedynie na adresie email pobranym z facebooka (adres email rowniez jest unikatowy) ale wydaje mi sie ze lepsza metoda jest po prostu identyfikator facebookowy.

[maksik]

email nie można pobierać już z aplikacji... chodzi mi jedynie o to właśnie czy ktoś mógłby się podszyć w jakiś sposób pod innego użytkownika znając jego id w aplikacji czy to fizycznie nie możliwe?

Ten post edytował maksik 6.09.2014, 12:18:46

[jacobson]

Logowanie przez facebooka jest bezpieczne, w tym przypadku o ktorym mowilem to jedyna mozliwosc podszycia wystepuje wtedy kiedy komus uda sie spreparowac token ktory masz zapisany w ciastku a 128 albo np 256 znakow nie jest latwo wykoncypowac (IMG:style_emoticons/default/smile.gif)

Poza tym id facebookowe jest jawne, da rade je wyciagnac nie pamietam juz jak sie nazywa to narzedzie. Jak poszukasz troche w google to znajdziesz. Wpisujesz tam url uzytkownika albo sama koncowke i zwraca Ci jego id (IMG:style_emoticons/default/smile.gif)

Ten post edytował jacobson 6.09.2014, 12:20:55

[pedro84]

Czy rejestracja poprzez aplikacje facebook na stronie jest bezpieczna?

To znaczy? Wszystko zależy od Twojej implementacji?

tj. jak powinno zostać wygenerowane hasło które utworzy konto w bazie danych poprzez wyświetlenie z aplikacji ID i innych danych? nie można pobrać adresu e-mail a jedynie dana niezmienna w danych aplikacji facebooka dla każdego usera to chyba tylko numer id (np. imie czy data gdy użytkownik zmieni a będzie to stanowić część hasła, to się nie zaloguje)

Ale po co Ci hasło? Ja zdecydowanie jestem fanem password-less method przy logowaniu za pomocą OAuth - szkoda, że wciąż zdarzają się ułomne implementacje, które tylko pobierają dane z FB, część wypełniają, a i tak musisz stworzyć nowe konto i logować się za jego pomocą.

I co to znaczy, że nie można pobrać adresu email?

[jacobson]

Chwila w google i znalazlem: http://graph.facebook.com/kierdarby (oczywiscie uzytkownik przykladowy sciagniety z google).

[pedro84]

Chwila w google i znalazlem: http://graph.facebook.com/kierdarby (oczywiscie uzytkownik przykladowy sciagniety z google).

A co to w ogóle ma wspólnego z tym co pisałem?

[maksik]

użytkownik nie będzie wypełniał reszty dodatkowych pól by dokończyć rejestrację, gdyż adresu e-mail nie potrzebuje i tak, a aplikacje teraz nie pozwalają wyciągać jawnego adresu e-mail.
Podsumowując, czyli po zalogowaniu do aplikacji wystarczy dodać ciastko lub sesje z zapisanym id (zakodowanym) i sprawdzać tylko za jego pomocą czy jest użytkownik jest zalogowany?

[pedro84]

Poczytaj sobie najpierw jednak to:
http://stackoverflow.com/questions/4727226...es-oauth-2-work
http://marktrapp.com/blog/2009/09/17/oauth-dummies/

[jacobson]

pedro nie odpowiadalem Tobie tylko maksikowi (IMG:style_emoticons/default/smile.gif)

[pedro84]

pedro nie odpowiadalem Tobie tylko maksikowi (IMG:style_emoticons/default/smile.gif)

Ale mnie to średnio obchodzi, bo oboje mylicie pojęcia i jakieś dyrdymały wygadujecie, a ja tylko prostuję (IMG:style_emoticons/default/wink.gif) Logowanie z FB rozwiązuje się za pomocą OAuth - a nie pobierania jakichś danych z OG.

PS. Nie wiem czemu też gadacie takie głupoty odnośnie adresów email.

Ten post edytował pedro84 6.09.2014, 18:09:08

[maksik]

nawet gdy ustawiam scope dla pobierania adresu e-mail, nie mogę go pobrać, mógłbyś podzielić się działającym przykładem? czy to kwestia ustawienia aplikacji?(jest włączona)

[pedro84]

nawet gdy ustawiam scope dla pobierania adresu e-mail, nie mogę go pobrać, mógłbyś podzielić się działającym przykładem? czy to kwestia ustawienia aplikacji?(jest włączona)

Mówimy o OAuth? Korzystasz z jakiejś biblioteki czy sam pisałeś?

[jacobson]

a czy Oauth to jakis wymóg ? ja Ci nie narzucam rozwiazan wiec nie narzucaj ich innym (IMG:style_emoticons/default/smile.gif)

[pedro84]

a czy Oauth to jakis wymóg ? ja Ci nie narzucam rozwiazan wiec nie narzucaj ich innym (IMG:style_emoticons/default/smile.gif)

A czy masz pojęcie o czym mówisz, bo zaczynam podejrzewać, że nie... Żadnego logowania z FB bez wykorzystania OAuth nie zrobisz. To, że sobie ściągniesz publiczne dane z OG, to jest zupełnie inna bajka.

Radzę poczytać:
https://developers.facebook.com/docs/facebook-login/v2.1
https://developers.facebook.com/docs/facebo...login-flow/v2.1