- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 PHP SDK getLoginUrl() 函数,它可以完美地让用户登录。一旦用户被重定向回我的页面,URL 可以有两种形式,请参见以下链接第 3 小节:http://developers.facebook.com/docs/authentication/server-side/
返回 URL 的一部分是一个 ?state= 值。该值应该用于防止跨站请求伪造:http://developers.facebook.com/docs/reference/dialogs/oauth/
虽然,使用 getLoginUrl() 方法我永远无法设置状态值,因为它不是参数之一:http://developers.facebook.com/docs/reference/php/facebook-getLoginUrl/
那么我如何利用状态值让用户登录 facebook 并防止 CSRF?
最佳答案
So how can I utilize the state-value to log a user into facebook and prevent CSRF?
这由 Facebook PHP SDK 自动处理。如果您要编写您自己对 Facebook 的 API 调用,则需要提交 state
根据 Facebook 的 OAuth
手动(如果需要)文档。
当您使用 BaseFacebook::getLoginUrl()
创建登录 URL 时,该函数做的第一件事是建立 CSRF token 状态1,它使用 PHP 的核心 mt_rand()
创建一个散列。 , uniqid()
和 md5()
函数并将该值存储为 session 变量。
当用户被重定向回您的页面时,FBSDK 检查是否提交了 state
匹配 state
session 中的值。如果值确实匹配,state
从 Facebook
中清除对象和 session ,所以所有后续 getLoginUrl()
请求会得到一个新的 state
变量。2
理论上您可以使用自己的 state
FBSDK 的值写入 fb_<em><your_app_id></em>_state
构建 Facebook
之前的 session 变量-object,作为 BaseFacebook
的构造函数和 establishCSRFTokenState()
两者都检查 state
是否已经存在于 session 中。
但这可能会带来不必要的复杂性。
BaseFacebook::establishCSRFTokenState()
BaseFacebook::getCode()
关于Facebook PHP SDK - getLoginUrl() - 状态值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10358752/
我有一个帮助程序类,它提供有关登录用户的信息。我想将它作为静态方法并在多个地方使用它(不是 react 组件) 如何访问类模型中的 redux 存储值? 最佳答案 如果您可以在应用程序中管理它,那么使
我正在构建一个简单的 rgba 选择器,它允许用户通过向上箭头和向下箭头键切换各个值。下面是我的代码片段。 class App extends Component { constructor(){
想象一下这段代码: class App extends React.Component { state = { name: "george", counter: 1 };
我正在使用 PHP SDK getLoginUrl() 函数,它可以完美地让用户登录。一旦用户被重定向回我的页面,URL 可以有两种形式,请参见以下链接第 3 小节:http://developers
我正在尝试对我的 ReactJS 组件进行单元测试。基本上它是一个由输入和按钮组成的简单组件。单击按钮时,它会触发一个名为“onSave”的事件,并且仅当 state.textValue 不为空时才会
我试图通过将成员变量保存在 ViewState 中(只有几个小变量)来保留它们,但是我读了一下,我发现在 PreRender 阶段将它们保存到 ViewState 中比 PageLoad 更好? 我可
我正在尝试根据用户的输入更改 div 背景颜色。我想将状态键设置为色调,值为用户输入。然后我想获取该状态并将其注入(inject)另一个名为颜色值的状态键。我希望颜色值是在 chromajs 中使用
研究应该是对数据库的简单调用。选择与当前用户对应的记录,然后根据检索到的数据执行一些代码。但是,当它尝试查询数据库时,它返回“数据转换失败。[ OLE DB 状态值(如果已知)= 2 ]”。有什么想法
我正在运行以下代码 /*Fetchinch Last CustID from custMaster*/ int ID = 0; try { con.Open(); da = new
我是一名优秀的程序员,十分优秀!