如果我启用了" Require App secret ",会发生什么?为我的facebook应用程序?从Facebook下载的移动SDK会受到什么影响?
我在Facebook安全文档中读到你不应该把App Secret放在你的客户端。如果是这样的话,为什么facebook文档显示只需在客户端完成所有操作就可以完成登录流程?
移动应用程序无法正确地保密,因为有各种方法可以反编译代码或拦截HTTP消息来发现它。
首选标准的AppAuth模式,它使用授权代码流(PKCE)—有关详细信息,请参阅这篇安全性文章。
首选选项是公司的移动应用程序通过公司的授权服务器进行身份验证,使用AppAuth模式,提供以下好处:
-
无需更改代码即可添加许多身份验证方法-包括Facebook -如果需要客户端秘密,则将在服务器端管理
-
发行的令牌将对您公司的api有用,并且可以提供自定义声明-如果您使用Facebook发行的令牌,这将是不可能的