Rails Devise Api + Facebook iOS SDK, проблема безопасности

В настоящее время я разрабатываю приложение, которое будет использовать FB SDK (впервые) для входа пользователя в приложение. Полагаю, поток типичен. Пользовательские «вход в систему с facebook», аутентификация facebook, затем мы вызываем наш api и регистрируем пользователя через электронную почту facebook (только), которую мы имеем в файле.

Однако, что нас волнует, теоретически, если кто-то знал наш api_token и знал, что вызов POST для URL-адреса входа с использованием только действующего существующего электронного письма для входа в систему, это не проблема безопасности, поскольку они действительно могут войти в систему как кто-то другой. Думаю ли я это? Понятно, что им нужно будет знать каждый аспект api, чтобы нанести какой-либо ущерб. Но все же, я не чувствую себя комфортно с этим потоком. Я что-то упускаю?

2
nl ja de

1 ответы

Это не должно быть чем-то, о чем вам нужно беспокоиться. Facebook сначала защищает вас, имея требование для входа пользователя в Facebook. Далее, UID пользователя (легко доступный для всех) и ваш API-ключ недостаточно. Им все равно понадобится ваш секретный ключ API (который, если у кого-то есть плохая вещь), чтобы подписывать запросы как вы.

What you're really using is OAuth (though Devise, through OmniAuth). I'm not an expert but you can read more here: http://hueniverse.com/oauth/guide/security/

Когда пользователь регистрируется через OAuth, у вас не будет установленный для них пароль, и это не так просто, как и для первого входа в Facebook. Это может быть хорошей идеей, хотя попросить их установить пароль, если они когда-либо отредактируют свою учетную запись, что также означает, что они могут подписываться по-старому способу, если они желают/удаляют Facebook/и т. Д.

2
добавлено
Mobile Dev Jobs — вакансии и аналитика
Mobile Dev Jobs — вакансии и аналитика
6 187 участник(ов)

Публикуем вакансии и запросы на поиск работы по направлению iOS, Android, Xamarin и т.д. ВАЖНО: Правила публикации и правила канала: Ссылка – https://telegra.ph/Pravila-oformleniya-vakansij-i-rezyume-11-09-2

iOS Developers — русскоговорящее сообщество
iOS Developers — русскоговорящее сообщество
2 400 участник(ов)

Общаемся на темы, посвященным iOS-разработке, Swift, Objective-C, SDK, Rx, Cocoa и т.д.

pro.ruby
pro.ruby
1 181 участник(ов)

Язык программирования Ruby Additional docs: https://rubyreferences.github.io/rubyref/ Invite: https://telegram.me/joinchat/Be4rsT2NuB3CyJaF26j1kA Кто хочет компилировать: @crystal_ru (его синтаксис основан на Ruby) Участник @proDOT

Ruby, Rails, Hanami | dry-rb
Ruby, Rails, Hanami | dry-rb
1 180 участник(ов)

https://telegram.me/rubyjob - Ruby Job По вопросам - @eugene_shved

Ruby School .us
Ruby School .us
1 045 участник(ов)

Чат-болталка для учеников руби-школы и не только. Правила: https://telegra.ph/Pravila-chata-Rubi-shkoly-03-13

Random Ruby Chat
Random Ruby Chat
589 участник(ов)

Правила публикации вакансий: https://t.me/codenamecrud/60865

Rubyata
Rubyata
333 участник(ов)

Коммюнити Ruby и Ruby On Rails Флуд не приветствуются. Вакансии можно публиковать только и ТОЛЬКО по пятницам с хештегом #вакансия.

Ruby Talks
Ruby Talks
236 участник(ов)

Национальная Флеймотека

RubyRush
RubyRush
189 участник(ов)

rubyrush.ru программирование для самых новичков

Rails Chat
Rails Chat
87 участник(ов)

You are welcome to discuss Ruby On Rails development process and other stuff