Hirdetés

  2. Fórumok
  3. Szoftverfejlesztés
  4. JavaScript topic
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2014-02-25 10:20

    LOGOUT

    JavaScript != Java (A JavaScript nem összekeverendő a Javával, két különböző programozási nyelvről van szó!)

Új hozzászólás Aktív témák

  • #2825 Karma félisten Sk8erPeter #2824
    Új Válasz #2825
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Karma

    félisten

    válasz Sk8erPeter #2824 üzenetére

    Például a Graph API és az FQL is úgy működik, hogy paraméterként át kell adni a bejelentkezéskor kapott access tokent.

    Pl. a profiloldalam adatainak lekérdezése:
    https://graph.facebook.com/1669432759?method=GET&metadata=true&format=json&callback=___GraphExplorerAsyncCallback___&access_token=AAACE<kivágva>OkXfR

    A weboldalon ez nem ennyire látványos, amíg nem nézel rá az XHR-ekre :U Itt cookieból húzza fel a session ID-t a pull requestekhez.

    De hogy egy másik példát is mondjak testközelből, a Liferay is folyamatosan generál sessionID-ket minden URL-be - innen fogja tudni a portletnek átadni a megfelelő objektumokat.

    ---

    Szerintem az URL-ben küldés önmagában még nem veszélyes, ha a session ID valami hosszú, biztonságos hash, és a szerveroldal minden hívásnál ellenőrzi. Na meg persze megfelelő érvényességi idő is tartozik hozzá.

    Nem úgy, mint anno a webbankos esetnél, amikor sima szám volt a user ID és szabadon be lehetett lépni bárhova :D (Több éve volt, nem hiszem hogy megtalálnám a cikket amiben olvastam.)

Új hozzászólás Aktív témák