使用 FB 的 javascript SDK 时,它只需要你的客户端应用 ID。是什么阻止某人找到你的客户端应用 ID 并使用它来登录用户并获取它认为它正在为你的应用提供的信息的访问令牌?
我意识到这里可以采取更多安全措施:https://developers.facebook.com/docs/facebook-login/security#proof
但默认行为看起来任何人都可以伪装成你的应用并获取用户信息。
JS SDK 仅适用于您的域,您需要在应用设置中添加它。所以没有安全问题,试试吧。
此外,只有用户自己可以使用他们的帐户登录,您不能仅仅因为您拥有应用程序 ID 就登录任何用户。
OAuth2 客户端(应用程序(具有一组指向其安装的已注册重定向 URI。如果攻击者使用其他客户端的 ID 启动身份验证,则必须指定有效的重定向 URI,浏览器将在身份验证过程后重定向到。因此,生成的令牌不会传递给攻击者,而是传递给客户端的应用程序。
这种攻击称为"客户端模拟",OAuth2 RFC 对此进行了讨论。在适用于本机应用程序的OAuth 2.0中也对此进行了讨论。