Android facebook sdk:没有正确的密钥哈希登录工作
Android facebook sdk : Login works without proper key hash
我在 developers.facebook.com 中创建了一个 android 示例应用程序,但我没有在设置中提供任何密钥哈希。现在,如果我尝试使用已安装的 fb 应用程序登录我的示例,它会给出预期的无效密钥哈希错误。
但是,如果我禁用 facebook 应用程序,它会默认打开一个 webview 覆盖,并且登录工作正常,没有任何错误。这不应该是一个安全问题吗,因为如果任何黑客获得了我的 app_id 的访问权限,他就可以使用相同的 app_id 创建自己的应用程序并使用它通过 fb 登录。如果有人能解释一下这个安全问题,那将会很有帮助。
使用 webview,由于 SDK 是开源的,因此无法强制发送密钥散列,并且任何人都可以修改源代码(这意味着他们可以覆盖 SDK 生成的任何密钥散列)。
在登录过程中,用户仍会看到他们正在授权的应用程序的名称和图标,并且可能会注意到他们正在授权的应用程序不是他们当前打开的应用程序。从 webview 获取的访问令牌也可能有一些限制。
我在 developers.facebook.com 中创建了一个 android 示例应用程序,但我没有在设置中提供任何密钥哈希。现在,如果我尝试使用已安装的 fb 应用程序登录我的示例,它会给出预期的无效密钥哈希错误。
但是,如果我禁用 facebook 应用程序,它会默认打开一个 webview 覆盖,并且登录工作正常,没有任何错误。这不应该是一个安全问题吗,因为如果任何黑客获得了我的 app_id 的访问权限,他就可以使用相同的 app_id 创建自己的应用程序并使用它通过 fb 登录。如果有人能解释一下这个安全问题,那将会很有帮助。
使用 webview,由于 SDK 是开源的,因此无法强制发送密钥散列,并且任何人都可以修改源代码(这意味着他们可以覆盖 SDK 生成的任何密钥散列)。
在登录过程中,用户仍会看到他们正在授权的应用程序的名称和图标,并且可能会注意到他们正在授权的应用程序不是他们当前打开的应用程序。从 webview 获取的访问令牌也可能有一些限制。