Suona forse come una domanda stupida, ma mi chiedo se questo sia teoricamente possibile.
Diciamo che sto usando il login di Facebook nella mia app. Se l'accesso ha esito positivo, ricevo un token OAuth da Facebook per effettuare richieste API. Ora Facebook ha anche questo token e potrebbe usarlo per accedere alla mia app e recuperare tutti i dati all'interno di questa app. Non sono sicuro che sia possibile, ma potrebbe essere un problema di sicurezza.
Grazie mille!
Per indirizzare specificamente lo scenario, Facebook non ha bisogno di aspettare fino a quando un utente accede per catturare un token OAuth. Poiché ti fidi di Facebook come provider di autenticazione, possono generare un token OAuth valido per qualsiasi utente nel loro sistema in qualsiasi momento.
Dato questo, ci sono tre risposte potenzialmente corrette qui.
Questa non è una minaccia, perché è al di fuori del tuo modello di minaccia, o un rischio trascurabile. Nella maggior parte dei casi questa sarà la risposta corretta. È al di fuori del tuo modello di minaccia, perché stai presumendo che Facebook stia autentificando correttamente le persone e se ricevi un token OAuth da loro, è per l'utente autenticato che dicono di fare. È un rischio trascurabile perché è improbabile che Facebook si preoccupi dei dati delle applicazioni, ed è improbabile che, anche se lo fanno, sono disposti ad abusare di un sistema che hanno speso una grande quantità di denaro per costruire e operare, e questo è popolare solo perché è affidabile. Ciò vanificherebbe il loro obiettivo più grande e più prezioso di mettere le dita in ogni angolo del web.
È una minaccia e può essere mitigata con un secondo fattore di autenticazione. Se questo è un rischio abbastanza grave per la tua applicazione per qualsiasi motivo, puoi mitigarlo per gli utenti esistenti della tua app richiedendo un secondo fattore di autenticazione su cui Facebook non ha il controllo, in modo da non affidarti esclusivamente a OAuth gettone.
Se si tratta di una minaccia grave, non utilizzare affatto Facebook OAuth. Se davvero non ti fidi di loro, allora non usare il loro sistema. Semplice come quella. Se i dati nella tua applicazione sono così sensibili da garantire che è necessario utilizzarli per creare un nuovo set di credenziali, falli fare così.
Tutto ciò detto, la vasta maggioranza dei casi ricadrà nello scenario 1. Innanzitutto, quando scegli di utilizzare Facebook OAuth, lo fai in modo da non doverti preoccupare dell'autenticazione, e le minacce all'autenticazione (per la maggior parte) diventano esterne. Inoltre, il pensiero che Facebook possa abusare del sistema per danneggiare te o i tuoi utenti è più una trama fittizia che una vera minaccia, e la probabilità che ciò avvenga è generalmente trascurabile e non vale il costo, lo sforzo e la complessità della mitigazione .
Leggi altre domande sui tag authentication oauth facebook