Я пишу новое приложение на основе холста, используя подход iframe. Мой бэкэнд поддерживает как HTTP, так и HTTPS для ответов холста, но кажется, что по умолчанию Facebook переводит пользователей на HTTP и отправляет все важные учетные данные (т. Это, конечно, уязвимость безопасности в общих сетях (кафе, офисы и т. д., где было бы тривиально перехватить токены доступа).
Как я могу заставить все мои запросы холста работать через HTTPS и защитить учетные данные моих пользователей?
Я думаю, что все разработчики должны хотеть — или быть обязаны — делать это. Хотя я новичок в разработке Facebook, я удивлен, что они не будут использовать HTTPS для всех прямых передач токенов доступа пользователей. В Oauth 1.0 были механизмы, позволяющие использовать токены доступа через HTTP (поскольку запросы должны были быть подписаны клиентским приложением), но OAuth 2.0 отказался от всего этого в пользу использования HTTPS для любого запроса со встроенными учетными данными. Facebook помог разработать OAuth 2.0 и, как ни странно, подрывает безопасность дизайна, отклоняясь от использования HTTPS в запросах холста.