Új hozzászólás Aktív témák

• #2825 Karma félisten Sk8erPeter #2824

  Új Válasz 2012-08-16 14:06:48 #2825

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Karma

  félisten

  válasz Sk8erPeter #2824 üzenetére

  Például a Graph API és az FQL is úgy működik, hogy paraméterként át kell adni a bejelentkezéskor kapott access tokent.

  Pl. a profiloldalam adatainak lekérdezése:
  https://graph.facebook.com/1669432759?method=GET&metadata=true&format=json&callback=___GraphExplorerAsyncCallback___&access_token=AAACE<kivágva>OkXfR

  A weboldalon ez nem ennyire látványos, amíg nem nézel rá az XHR-ekre Itt cookieból húzza fel a session ID-t a pull requestekhez.

  De hogy egy másik példát is mondjak testközelből, a Liferay is folyamatosan generál sessionID-ket minden URL-be - innen fogja tudni a portletnek átadni a megfelelő objektumokat.

  ---

  Szerintem az URL-ben küldés önmagában még nem veszélyes, ha a session ID valami hosszú, biztonságos hash, és a szerveroldal minden hívásnál ellenőrzi. Na meg persze megfelelő érvényességi idő is tartozik hozzá.

  Nem úgy, mint anno a webbankos esetnél, amikor sima szám volt a user ID és szabadon be lehetett lépni bárhova (Több éve volt, nem hiszem hogy megtalálnám a cikket amiben olvastam.)

Új hozzászólás Aktív témák