- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我们一直在我们的 Android 应用程序中实现 Facebook Android SDK,它需要在 Facebook 服务器上存储应用程序签名,以便验证从应用程序到 Facebook 的调用。我们想将这个系统用于我们自己的后端,以确保它只被我们的应用程序使用,对此我有以下问题:
(引用https://github.com/facebook/facebook-android-sdk/tree/master/facebook/src/com/facebook/android查找相关类)
[编辑回复 nitzan & zapl]
我想要实现的与 facebook sdk 要求您将签名存储在他们的服务器上的原因相同;确保对我们后端的调用是从我们的应用程序发送的,而不是其他任何东西。我们不想让机器人或其他应用程序访问我们的服务器 api。 facebook sdk 有方法检查Intents 是否来自Facebook 应用程序,这是安全的,因为Android 系统对签名和Intents 进行封闭管理。妥协的唯一方法是运行修改后的 Android 版本,该版本允许覆盖应用程序签名,但人们构建和运行的几率可以忽略不计。然而,运行一个应用程序、嗅探通过非 https 协议(protocol)发送的签名并构建一个使用此签名和 api 调用的应用程序不是。似乎让这样一个系统工作的唯一方法是使用 https,而 facebook sdk 似乎没有。
请注意,我上面描述的 Intent 验证方法不同于对 facebook 服务器的 url 调用。 Intents 用于让设备上的 Facebook 应用程序与实现 SDK 的应用程序进行通信。 Android 系统确保与传入 Intent 一起发送的 Facebook 应用程序的签名不能被伪造,因此 Facebook 应用程序-> 应用程序通信系统是安全的。与这个内部系统相反,我的问题是关于向服务器发出 url 调用的外部系统,如果签名可以在调用过程中发送不可变的,这将是安全的,基本上实现与 Intent 系统相同的系统。
[编辑 2]
事实证明,与我们的假设相反,应用签名很容易获取。虽然应用程序需要使用私有(private)开发人员 key 进行签名,但这不会损害 Android 上应用程序的安全性,但它显然不能用于验证服务器端的 api 调用。
这会引出更多问题:
最佳答案
http://
替换 fbconnect://
Uri,这意味着使用此代码的连接没有加密。而且对服务器的整个验证点最终并不是安全问题,因为没有可靠的方法来验证应用程序。它用于使其他人更难滥用 API,并用于跟踪谁在使用该 API。
身份验证机制要求您的 apk 中有某种 key 。但是,由于您将该 apk 发送给潜在的恶意客户,您无法再控制它,并且有可能提取 key 并滥用它。您所能做的就是混淆 key ,这样就更难获得它。但这终究是不可能的。
因此,假设您有一个应用程序可以与您的后端服务器通信,并且我将您的应用程序下载到我的设备上。然后,我可以从我的设备上获取 .apk
,对其进行反编译并了解与您的服务器的通信方式 - 创建 https 之前的明文。我还可以看到您的应用程序的签名是什么,它存储在设备和 apk 中的 xml 文件中。然后我要么修改你的应用程序,要么创建一个新的应用程序,它使用这些信息来表现得与你的应用程序完全一样,但它不是你的应用程序。使用https没问题,我也可以把你想要的签名发给你。
您无法阻止这种情况的发生。你只能让它变得难以做到。
关于Android facebook-sdk签名安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10372427/
我为我们的业务创建了一个 Facebook 页面,我创建了一个 Facebook 应用程序来获取 AppID,以便在 Facebook 插件中使用它。 我注意到 Facebook 应用程序的页面看起来
是否有可能知道哪个 Facebook 用户点击了我的应用用户在 Facebook 上分享的链接? 为了清楚起见,让我改写一下:我想知道我的应用用户的哪些 friend 点击了他的共享链接。 感谢任何提
我正在浏览 facebook pixel,对 facebook pixel 如何知道哪个转化来自哪个 facebook 广告感到很困惑? 假设我有这个 url http://example.com安装
我正在开发 sucsongmoi.net(越南语),当浏览者从他们的墙上分享网站链接时,一些链接 facebook 获得描述和图像,一些链接 facebook 无法获得描述和图像。 例如:分享 suc
一位同事错误地设置了个人 Facebook 页面;它应该是一个企业 Facebook 页面。 个人页面上有几个 friend 需要重定向到正确的 Facebook 业务页面。 我可以将用户从错误的个人
在 Facebook 上,当您转到“编辑我的个人资料”>“艺术和娱乐”时,会有一个“电影”自动完成小部件,它会在您输入电影时推荐电影。 因此,如果您输入“Jones”,它将开始建议: 印第安纳琼斯 布
我在我的网页上使用 Facebook 登录。首次登录时,Facebook 登录应用程序会请求获取用户数据的权限。 有什么方法可以改善这个问题,以请求喜欢我的 Facebook 页面的许可?用户点击后,
我需要知道是否可以将现有的 Facebook 页面(类别:应用程序页面)链接到 Facebook 应用程序?当我进入 Facebook 应用程序设置时,他们建议创建一个新页面。但我需要的只是链接到现有
我的网站应用程序具有通过 Facebook 登录进行登录的功能。为此,我的应用程序出现在 Facebook 上。使用 Facebook 登录工作正常。 但应用程序具有将 Facebook 帐户链接和取
我正在制作一个应用程序,让人们可以在 Facebook 上与特定的 friend 分享内容。示例:Alice 使用我的应用程序,她与 Bob 分享了一篇文章,Bob 是她的 Facebook 好友。现
我正在按照列出的说明进行操作 http://docs.appcelerator.com/platform/latest/#!/api/Modules.Facebook 并查看 Arrow 示例目录中的
假设我有一个餐厅的商业网站,一位顾客为一大群人预订了一张 table 。有没有一种方法可以让客户有机会在餐厅网站上创建 Facebook 事件,作为预订流程的一部分。我知道客户必须以某种方式从餐厅网站
我想让我的用户将他们的用户帐户与 Facebook 或 Twitter 相关联,并允许他们使用他们的 Facebook/Twitter 帐户登录我的服务器,而不是使用传统的用户名/密码。与StackO
我们有一个面子书页面。我们添加了一个自定义 FBML 选项卡。现在我们要添加评论面子书插件。我尝试添加一个脚本,我从 Face book Social Plug in .代码是 之后我将此脚本放入自
大家好 请帮我找到关于以下的官方信息: 1) 什么是“FaceBook 登录” 2) 什么是“FaceBook Connect” 谢谢 最佳答案 你可以在那里找到你需要的一切: http://deve
这是最奇怪的事情。我有非常简单的 CF 代码,查看 cgi.HTTP_REFERER。简单地说,它查看推荐人。如果链接是从我们的主要网站域之外单击的,它会显示一些内容。否则,什么也不会发生。所以,如果
我还是 Facebook Graph API 的新手,正在尝试开始使用 Facebook 地点搜索。 (按位置搜索地点) https://graph.facebook.com/search?type=
我不想开设 Facebook 帐户,但我被要求为需要使用 Facebook API 的应用程序开发功能。有没有一种方法可以开发这些功能并使用 Facebook API,而无需开设个人 Facebook
我已经按照指示实现了 DotNetOpenAuth 提供的示例应用程序 here . 正如您在下面看到的,这要求用户安装此 facebook 应用程序。 我只是想让用户使用他们的 Facebook 登
我的主页上有标准的 Facebook 登录按钮,我不希望人们仅在用户单击登录按钮时使用他们的 Facebook 帐户自动登录我的网站。 如果用户未登录 Facebook,将出现一个弹出窗口询问他的凭据
我是一名优秀的程序员,十分优秀!