- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
使用 facebook 开发 Android 应用程序时,您需要将应用程序的 key 哈希上传到他们的网站。有了这个,他们声称他们能够验证对其服务器的调用实际上是从您的应用发出的。
我已阅读此问题 How does Facebook verifies mobile apps但它并没有真正提供这个的实际实现。我已经尝试查看 facebook 库的源代码,但无法弄清楚。
哪些数据是从 android 应用发出的,以及可以根据服务器中的此哈希验证的加密方式? facebook实现的方法是fail safe吗?
如果是,并且它可以在任何服务器中实现,我可以使用它来验证我的服务器是否没有使用不同的代码重新编译我的应用程序(这种情况经常发生:()
我目前正在以这种方式实现这个想法:
Signature[] sigs = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES).signatures;
for (Signature sig : sigs) {
verifyInServer(sig.hashCode());
}
verifyInServer 是使用存储的签名值对服务器进行检查的伪代码。它现在已经工作了,但我不确定它是否安全,我宁愿检查一个 key 哈希(它的公共(public))而不是这个签名数据(我不确定它是否是私有(private)的并且 不是可被用户欺骗)。
最佳答案
@Zbysek 的回答可能是正确的,因为 Facebook 应用程序很可能是实际执行验证的应用程序。没有这个应用程序的源代码很难确定,但我们可以通过检查 Facebook API 库项目的源代码推断出一些事情,特别是 AuthorizationClient
中编码的登录过程和Session
类。
首先,客户端验证 Facebook 应用程序本身已正确签名。这是意料之中的,因为您不会想要将您的登录凭据提供给冒充的假应用Facebook。这是在 NativeProtocol
类中完成的(也在Facebook
类,用于已弃用的方法)。这是API 中唯一提及的签名,因此如果有额外的验证,它们要么由 Facebook 应用程序本身完成,要么在服务器中完成。
Session.open()
最终会创建一个 AuthorizationClient
来尝试一系列可能的处理程序。其中一个(第一个使用,如果 SessionLoginBehavior
允许的话)是 Facebook 应用程序本身(例如使用 KatanaLoginDialogAuthHandler
,但还有其他的)。
这些 AuthHandler
对象最终使用 tryIntent()
调用 startActivityForResult()
来调用 Facebook 应用程序本身。
所以,总结一下,登录过程:
startActivityForResult()
。这是一个关键部分,因为以 startActivityForResult()
开始的 Activity (但不是那些以 startActivity()
开始的 Activity )可以使用 getCallingActivity()
知道调用者的身份(包和类名)。
因此,Facebook 应用程序可以轻松地使用此信息来查询 PackageManager
,获取 您的 应用程序的签名,将该数据与应用程序 ID 一起传递给服务器,然后验证它们是否匹配。由于 Facebook 应用程序本身已签名,因此您的应用程序可以信任此结果。
我承认这都是猜测,但鉴于我们所知道的,这似乎是合理的:)
不幸的是,这也意味着您不太可能复制此机制以供您自己使用以保证真实性。除非您是 Facebook 或 Google(Google Play 服务具有类似的签名验证功能,例如用于 map ),或者可以以某种方式确保您的第二个应用程序也可以在每台设备上使用。
关于android - facebook 如何使用 key 哈希验证应用程序的真实性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23985965/
我为我们的业务创建了一个 Facebook 页面,我创建了一个 Facebook 应用程序来获取 AppID,以便在 Facebook 插件中使用它。 我注意到 Facebook 应用程序的页面看起来
是否有可能知道哪个 Facebook 用户点击了我的应用用户在 Facebook 上分享的链接? 为了清楚起见,让我改写一下:我想知道我的应用用户的哪些 friend 点击了他的共享链接。 感谢任何提
我正在浏览 facebook pixel,对 facebook pixel 如何知道哪个转化来自哪个 facebook 广告感到很困惑? 假设我有这个 url http://example.com安装
我正在开发 sucsongmoi.net(越南语),当浏览者从他们的墙上分享网站链接时,一些链接 facebook 获得描述和图像,一些链接 facebook 无法获得描述和图像。 例如:分享 suc
一位同事错误地设置了个人 Facebook 页面;它应该是一个企业 Facebook 页面。 个人页面上有几个 friend 需要重定向到正确的 Facebook 业务页面。 我可以将用户从错误的个人
在 Facebook 上,当您转到“编辑我的个人资料”>“艺术和娱乐”时,会有一个“电影”自动完成小部件,它会在您输入电影时推荐电影。 因此,如果您输入“Jones”,它将开始建议: 印第安纳琼斯 布
我在我的网页上使用 Facebook 登录。首次登录时,Facebook 登录应用程序会请求获取用户数据的权限。 有什么方法可以改善这个问题,以请求喜欢我的 Facebook 页面的许可?用户点击后,
我需要知道是否可以将现有的 Facebook 页面(类别:应用程序页面)链接到 Facebook 应用程序?当我进入 Facebook 应用程序设置时,他们建议创建一个新页面。但我需要的只是链接到现有
我的网站应用程序具有通过 Facebook 登录进行登录的功能。为此,我的应用程序出现在 Facebook 上。使用 Facebook 登录工作正常。 但应用程序具有将 Facebook 帐户链接和取
我正在制作一个应用程序,让人们可以在 Facebook 上与特定的 friend 分享内容。示例:Alice 使用我的应用程序,她与 Bob 分享了一篇文章,Bob 是她的 Facebook 好友。现
我正在按照列出的说明进行操作 http://docs.appcelerator.com/platform/latest/#!/api/Modules.Facebook 并查看 Arrow 示例目录中的
假设我有一个餐厅的商业网站,一位顾客为一大群人预订了一张 table 。有没有一种方法可以让客户有机会在餐厅网站上创建 Facebook 事件,作为预订流程的一部分。我知道客户必须以某种方式从餐厅网站
我想让我的用户将他们的用户帐户与 Facebook 或 Twitter 相关联,并允许他们使用他们的 Facebook/Twitter 帐户登录我的服务器,而不是使用传统的用户名/密码。与StackO
我们有一个面子书页面。我们添加了一个自定义 FBML 选项卡。现在我们要添加评论面子书插件。我尝试添加一个脚本,我从 Face book Social Plug in .代码是 之后我将此脚本放入自
大家好 请帮我找到关于以下的官方信息: 1) 什么是“FaceBook 登录” 2) 什么是“FaceBook Connect” 谢谢 最佳答案 你可以在那里找到你需要的一切: http://deve
这是最奇怪的事情。我有非常简单的 CF 代码,查看 cgi.HTTP_REFERER。简单地说,它查看推荐人。如果链接是从我们的主要网站域之外单击的,它会显示一些内容。否则,什么也不会发生。所以,如果
我还是 Facebook Graph API 的新手,正在尝试开始使用 Facebook 地点搜索。 (按位置搜索地点) https://graph.facebook.com/search?type=
我不想开设 Facebook 帐户,但我被要求为需要使用 Facebook API 的应用程序开发功能。有没有一种方法可以开发这些功能并使用 Facebook API,而无需开设个人 Facebook
我已经按照指示实现了 DotNetOpenAuth 提供的示例应用程序 here . 正如您在下面看到的,这要求用户安装此 facebook 应用程序。 我只是想让用户使用他们的 Facebook 登
我的主页上有标准的 Facebook 登录按钮,我不希望人们仅在用户单击登录按钮时使用他们的 Facebook 帐户自动登录我的网站。 如果用户未登录 Facebook,将出现一个弹出窗口询问他的凭据
我是一名优秀的程序员,十分优秀!