0
我有我的手机应用程序使用,当用户在Facebook或谷歌的图标点击来验证REST服务登录REST服务。如何确保从第三方
服务接受来自供应商的用户的ID并检查它是否存在于数据库中,然后发出用于其他方法的access_token。
的问题是,我只是觉得,这可能是很容易有人拦截来电,并发现哪些服务认证和什么样的用户ID,然后与调用它来获取令牌。
我该如何避免这种情况?
Q
如何确保从第三方
A
回答
0
我想你只需要分开认证和授权功能。您可以让Google(Google Sign-In)处理身份验证。如果按照API,他们将安全认证用户,并寄给您,您可以验证令牌。
一旦你知道他们是谁,你的网站可以安全地授权该用户approriately。例如,他们可能是现有的用户,需要创建一个帐户,成为管理员。您可以根据Google验证的用户(在我的示例中),在您的网站上制作授权。
Twitter,Facebook和别人不一样。另见OpenID Connect。
相关问题
- 1. 确保从第三方网站返回querystrings
- 2. 从第三方库
- 3. 从第三方源
- 4. 如何从第三方api保存JSON对象
- 5. 如何从应用程序保存第三方ID Facebook?
- 6. 如何从第三方POST通过GET
- 7. 从第三方发送邮件给第三方
- 8. 从第三方库解耦
- 9. 如何确保应用程序对抗第三方js库中的XSS载体?
- 10. iOS第三方框架确保没有网络连接
- 11. 确保装配不会被第三方使用
- 12. 如何通过第三方客户端保留后端安全
- 13. 如何通过GAE保持第三方的站点凭证?
- 14. 如何在jsp中保护第三方taglib
- 15. 如何保护WCF与第三方证书?
- 16. 如何确定第三方认证重定向URI?
- 17. 如何在Symfony2项目中正确集成第三方库
- 18. 如何正确添加第三方类库到laravel?
- 19. 如何正确包装第三方库结构?
- 20. 第三方API
- 21. 如何确保我的Magento站点从第三方开发人员完全切换
- 22. 如何在android中使用第三方库而不使用第三方库
- 23. 如何从第三方网站提取数据,例如价格?
- 24. 如何延迟第三方统计javascripts
- 25. 如何开发第三方SAS PROC?
- 26. 如何添加第三方库到MinGW?
- 27. 如何运送持牌第三方?
- 28. Java:如何使用第三方库?
- 29. 如何处理第三方Javadoc
- 30. 如何安装第三方API?