我正在开发一款只接受社交登录作为身份验证的网络应用程序(目前是Facebook和Google)。我已经按照每个网站的说明成功地实现了登录按钮,我使用与服务相关的电子邮件地址作为它们的唯一标识符,并将其存储在PHP的$_SESSION变量中以浏览页面。
我的问题是,如果我遵循Facebook和谷歌的实施指南,我是否可以假设不会有漏洞。我认为必须使用SSL来防止中间人攻击。为了安全地处理每个用户的登录和会话,我还能做什么或避免做什么?
谢谢你的建议。
OAuth本身就非常安全。如果您已经根据指南实现了此功能,那么应该不会有任何问题。
除此之外,您只需要确保安全地处理用户数据,正确地验证和净化它。还可以安全地存储会话数据。请确保遵守准则以防止会话劫持和会议固定攻击。
https://www.owasp.org/index.php/Session_fixationhttps://www.owasp.org/index.php/Session_hijacking_attack
请参阅OWASP网站,随时了解最新的安全更新。