hallo!
wie sich wahrscheinlich in einem meiner anderen topics vermuten lässt, arbeite ich zur zeit ein einem login system.
ich möchte eine art soziales netzwerk basteln. zunächst möchte ich jedoch keine eigene user datenbank mit usernamen und passwort machen. ich möchte dass man sich ledeglich mit seinem facebook account authentifizieren kann. facebook bietet dafür ja facebook connect graph api. beim login wird man kurz auf facebook geleitet, dort loggt man sich ein, und wird dann zurück auf meine seite gelinkt (mit einem von facebook generierten code in der adresszeile).
wenn man dann auf meiner seite eingeloggt ist, steht in der adresszeile ein code (meineseite.de/?code=12345), mit dem dann ein access token bei facebook geholt wird und somit kann ich mir diverse daten vom user über facebook holen (name, email adresse uvm).
was mich daran stört: wenn man die gesamte adresszeile kopiert und auf einem anderen computer einfügt, hat dieser auch eingeloggten zugang auf meine seite.
meine erste idee war: einen cookie mit der facebook id zu erstellen und in einer datenbank die ip adresse und facebook id zu speichern, und nur dann zugang gewähren, wenn beides übereinstimmt. genauer: facebook id aus cookie lesen -> zugehörige ip adresse aus datenbank lesen und mit ip adresse des benutzers zu vergleichen -> ggf zugang gewähren. allerdings scheint mir diese idee zunehmend nicht optimal zu sein (der cookie wert kann geändert werden, sql injection..)
ich verwende zudem noch jquery. es wäre toll, wenn sich das auf elegante art und weise dabei verwenden ließe. ist es vielleicht sogar möglich, sich einzuloggen, ohne dass die seite neu geladen werden muss?
ich will also nochmal neu ansetzen. kann mir bitte jemand einen denkstoss verpassen? eine sichere und solide struktur..
vielen dank schonmal!
wie sich wahrscheinlich in einem meiner anderen topics vermuten lässt, arbeite ich zur zeit ein einem login system.
ich möchte eine art soziales netzwerk basteln. zunächst möchte ich jedoch keine eigene user datenbank mit usernamen und passwort machen. ich möchte dass man sich ledeglich mit seinem facebook account authentifizieren kann. facebook bietet dafür ja facebook connect graph api. beim login wird man kurz auf facebook geleitet, dort loggt man sich ein, und wird dann zurück auf meine seite gelinkt (mit einem von facebook generierten code in der adresszeile).
wenn man dann auf meiner seite eingeloggt ist, steht in der adresszeile ein code (meineseite.de/?code=12345), mit dem dann ein access token bei facebook geholt wird und somit kann ich mir diverse daten vom user über facebook holen (name, email adresse uvm).
was mich daran stört: wenn man die gesamte adresszeile kopiert und auf einem anderen computer einfügt, hat dieser auch eingeloggten zugang auf meine seite.
meine erste idee war: einen cookie mit der facebook id zu erstellen und in einer datenbank die ip adresse und facebook id zu speichern, und nur dann zugang gewähren, wenn beides übereinstimmt. genauer: facebook id aus cookie lesen -> zugehörige ip adresse aus datenbank lesen und mit ip adresse des benutzers zu vergleichen -> ggf zugang gewähren. allerdings scheint mir diese idee zunehmend nicht optimal zu sein (der cookie wert kann geändert werden, sql injection..)
ich verwende zudem noch jquery. es wäre toll, wenn sich das auf elegante art und weise dabei verwenden ließe. ist es vielleicht sogar möglich, sich einzuloggen, ohne dass die seite neu geladen werden muss?
ich will also nochmal neu ansetzen. kann mir bitte jemand einen denkstoss verpassen? eine sichere und solide struktur..
vielen dank schonmal!
