我试图理解“使用 LinkedIn 登录”。我似乎只掌握了图片的一部分。
据我了解,用户在我的网站上使用 LinkedIn 登录,LinkedIn 将唯一的用户标识符返回到我的网站。
然后我在我的网站上使用该标识符来识别用户。
但我不明白 - 一旦最终用户看到标识符,如何阻止他们从此直接使用并且不再通过 LinkedIn 登录?返回的用户 ID 必须保密,还是可以公开显示(例如在 URL 中)?
另外,如何防止某人找到其他人的用户 ID,然后使用它来访问我的网站?
似乎我完全不了解如何使用从 LinkedIn 返回的用户 ID,以及存在哪些与安全相关的问题。
有人可以解释一下吗?
谢谢
我自己来回答吧。事实证明,您可以选择要求 LinkedIn API 也返回包含签名的 cookie。通过连接的 HTTPS 将此 cookie 返回到您的后端服务器,您可以在其中根据您自己的 API 密钥验证签名。瞧 - 您已经证明这是一个有效的用户,并且您已经证明用户登录实际上来自 LinkedIn,而不是被欺骗。
| 归档时间: |
|
| 查看次数: |
8182 次 |
| 最近记录: |