एफबी प्रमाणीकरण प्रक्रिया प्रतीत होती है:

  • एक एफबी ऑथ पेज पर एक पॉप अप खुला है, और यदि अनुमति दी जाती है, तो यह मेरे सर्वर को एक कोड के साथ पिंग करता है
  • फिर मैं अपने ऐप सीक्रेट (मेरे सर्वर से) का उपयोग करके एक्सेस टोकन के लिए उस कोड का व्यापार करने में सक्षम हूं

यह प्राप्त पहुंच टोकन अंततः समाप्त हो जाएगा, और फिर मुझे एक नए सिरे से पहुंच टोकन प्रदान करने के लिए उपयोगकर्ता को फिर से लॉगिन करने की आवश्यकता होगी।

लेकिन फिर आईओएस पर एफबीएसडीकेलॉगिनकिट के साथ, मैं बिना किसी सर्वर के सीधे एक्सेस टोकन प्राप्त कर सकता हूं। तो पहले अधिक जटिल प्रवाह का क्या मतलब है? fb सीधे वेब क्लाइंट को एक्सेस टोकन क्यों जारी नहीं कर रहा है (जो इसे मेरे सर्वर पर रिले कर सकता है)? और वेब क्लाइंट और मोबाइल क्लाइंट के बीच चीजें अलग क्यों दिखती हैं?

0
Guig 2 अगस्त 2016, 18:17

1 उत्तर

सबसे बढ़िया उत्तर

इसे OAuth 2.0 मानक में इसके क्लाइंट प्रकारों के टूटने में संबोधित किया गया है :

उपयोगकर्ता-एजेंट-आधारित एप्लिकेशन

उपयोगकर्ता-एजेंट-आधारित एप्लिकेशन एक सार्वजनिक क्लाइंट है जिसमें क्लाइंट कोड वेब सर्वर से डाउनलोड किया जाता है और संसाधन स्वामी द्वारा उपयोग किए गए डिवाइस पर उपयोगकर्ता-एजेंट (उदाहरण के लिए, वेब ब्राउज़र) के भीतर निष्पादित होता है। प्रोटोकॉल डेटा और क्रेडेंशियल संसाधन स्वामी के लिए आसानी से सुलभ (और अक्सर दिखाई देने वाले) होते हैं। चूंकि ऐसे एप्लिकेशन उपयोगकर्ता-एजेंट के भीतर रहते हैं, वे प्राधिकरण का अनुरोध करते समय उपयोगकर्ता-एजेंट क्षमताओं का निर्बाध उपयोग कर सकते हैं।

मूल एप्लिकेशन

एक मूल एप्लिकेशन एक सार्वजनिक क्लाइंट है जिसे संसाधन स्वामी द्वारा उपयोग किए गए डिवाइस पर स्थापित और निष्पादित किया जाता है। प्रोटोकॉल डेटा और क्रेडेंशियल संसाधन स्वामी के लिए सुलभ हैं। यह माना जाता है कि एप्लिकेशन में शामिल किसी भी क्लाइंट प्रमाणीकरण क्रेडेंशियल को निकाला जा सकता है। दूसरी ओर, गतिशील रूप से जारी किए गए क्रेडेंशियल जैसे एक्सेस टोकन या रीफ्रेश टोकन सुरक्षा का स्वीकार्य स्तर प्राप्त कर सकते हैं। कम से कम, ये क्रेडेंशियल शत्रुतापूर्ण सर्वरों से सुरक्षित हैं जिनके साथ एप्लिकेशन इंटरैक्ट कर सकता है। कुछ प्लेटफ़ॉर्म पर, इन क्रेडेंशियल्स को उसी डिवाइस पर रहने वाले अन्य एप्लिकेशन से सुरक्षित किया जा सकता है। [जोर मेरा]

तो जाहिर तौर पर फेसबुक इस सलाह का पालन कर रहा है और यह मान रहा है कि देशी एप्लिकेशन - लेकिन वेब एप्लिकेशन नहीं - एक्सेस टोकन की रक्षा कर सकते हैं।

1
Community 7 अक्टूबर 2021, 15:12