与Tinder Instagram Connect相似

Question

所以我注意到像Tinder这样的应用程序可以在其他人的手机上显示Instagram连接,即使用户A也不需要其他用户实际登录Instagram.

例如:User-A连接instagram并获取访问令牌.用户-B,C,D ......可以看到A的公共和私人图片,甚至没有登录到Instagram.

有没有办法在不需要访问令牌的情况下查看其他用户的Instagram - 甚至只使用CLIENT_ID的私有图片？

Answer 1

我们不要制造混乱。Tinder 用户可以选择分享 Instagram 照片。Tinder 无法在全球范围内访问 Instagram 照片。我会从安全角度回答你，因为我从未尝试过设置一个与 Instagram 连接的 Tinder 帐户来为你测试该场景。实际上，根据我对Instagram API的理解，不可能获取用户的私人照片。但我可能是错的，所以让我继续讨论。

访问令牌嵌入在 Tinder 应用程序代码中，如果您反编译代码，根据混淆程度，您可能会发现它或找不到它，并且如果您使用mitmproxy. 我不会在这里讨论这样的做法。

因此，Tinder 客户端被授予一个令牌来访问用户的图片。

用户选择在 Tinder/Instagram 上访问他的私人照片。单个访问令牌对选择加入 Instagram 的所有用户的照片都有效。如果您窃取 Tinder 的令牌，您可以访问任何 Tinder-Instagram 用户的私人照片。那还不错。用户选择向全世界分享私人照片。但如果 Instagram 用户不是 Tinder 用户，那么你肯定不会得到任何东西

请注意，该令牌仅适用于 Tinder 应用程序，而不是用户 A 的令牌。这是安全实践所禁止的。

通过将您的 Tinder 帐户与 Instagram 关联，您将授予Tinder 已颁发的令牌来代表您访问您的照片。

总结：

• Tinder 客户端 - 演员
• Instagram - 资源服务器
• 用户 A 的照片 - 资源
• 用户 B（在 Tinder 上，不在 Instagram 上）- 不是工作流程中的参与者
• 颁发给 Tinder 的令牌：访问选择在 Tinder 上分享 Instagram 照片的用户的任何（公开或私人？？？？？？）照片

注意：Tinder 客户端可能会也可能不会使用 Instagram 发行的令牌。从一般的安全角度来看，有两种实现场景：

1. Tinder 客户端使用颁发给 Tinder 应用程序并在所有客户端中编码的令牌联系 Instagram 服务器
   • PRO：带宽仅向用户收费
   • 缺点：暴露令牌可能会授予人们访问任何 Tinder-Instagram 用户照片的权限，而无需经过 Tinder
2. Tinder 应用程序请求 Tinder 服务器从 Instagram 获取照片。Tinder 客户端仅通过 Tinder 服务器进行身份验证
   • PRO：更安全的设计。Tinder 到 Instagram 的令牌从未曝光。如果用户离开 Tinder，他将无法访问其他 Tinder 用户的 Instagram 照片
   • 缺点：Tinder 服务器将收取检索和分发照片所需的带宽费用。如果 Tinder 开始缓存照片，则可能会违反 Instagram API ToS