Friday, April 12, 2019

DIGITAL FORENSICS:Access Token คืออะไร

DIGITAL FORENSICS:Access Token คืออะไร

โทเค็นการเข้าถึง   เป็นสตริงที่ระบุผู้ใช้ แอพ หรือเพจ โดยแอพสามารถใช้โทเค็นการเข้าถึงเรียก API กราฟได้ เมื่อมีคนเชื่อมต่อกับแอพโดยใช้การเข้าสู่ระบบด้วย Facebook และยอมรับคำขอสิทธิ์การอนุญาต แอพจะรับโทเค็นการเข้าถึงที่ให้คุณเข้าถึง Facebook API ชั่วคราวได้อย่างปลอดภัย คุณสามารถรับโทเค็นการเข้าถึงได้หลายวิธี

โทเค็นมีข้อมูลเกี่ยวกับเวลาหมดอายุของโทเค็นและแอพที่สร้างโทเค็น การเรียก API บน Facebook ส่วนใหญ่ต้องมีโทเค็นการเข้าถึงด้วยเนื่องจากต้องมีการตรวจสอบความเป็นส่วนตัว โทเค็นการเข้าถึงนั้นมีหลายประเภทซึ่งรองรับกรณีการใช้งานต่างๆ

แม้แต่ละแพลตฟอร์มจะสร้างโทเค็นการเข้าถึงผ่าน API ที่ต่างกัน แต่ทุกแพลตฟอร์มต้องปฏิบัติตามกลยุทธ์พื้นฐานในการรับโทเค็นผู้ใช้ ดังนี้

Credit  ภาพ : developers.facebook 

ข้อที่ควรทำความเข้าใจก่อน คือ access token นั้นไม่ใช่รหัสผ่านที่เราใช้ล็อกอินเฟซบุ๊ก แต่เมื่อเป็นรหัสเฉพาะที่เมื่อเราล็อกอินแล้ว หรือเปิดให้แอพพลิเคชั่นอื่นเข้ามาเชื่อมต่อกับบัญชีเฟซบุ๊กของเรา ตัวเฟซบุ๊กก็จะสร้าง access token ที่เป็นตัวอักษรสุ่มความยาวหลายสิบตัว เพื่อส่งให้กับแอพ จากนั้นเมื่อแอพต้องการเรียกข้อมูลต่างๆ ของเราจากเซิร์ฟเวอร์เฟซบุ๊ก ก็จะสามารถใช้ access token นี้แนบไปกับข้อความขอข้อมูลหรือสั่งโพสข้อความบน timeline ของเรา เพื่อให้เฟซบุ๊กตรวจสอบว่าเป็นการเรียกที่ได้รับอนุญาตจากผู้ใช้

Credit  ภาพ :  blognone  ภาพจัดการการล็อกอินแอพ โดยสามารถสั่งล็อกเอาท์แยกกันได้

แนวทางนี้ทำให้ตัวแอพไม่ต้องเก็บรหัสผ่านไว้ในแอพ และเฟซบุ๊กก็สามารถจัดการแอพต่างๆ แยกจากกันได้ เช่น เราสามารถล็อกเอาท์ อุปกรณ์แต่ละชิ้นแยกจากกันได้ เช่น เมื่อทำโทรศัพท์หาย ก็สามารถล็อกเอาท์เฟซบุ๊กออกจากโทรศัพท์ได้เลย โดยไม่กระทบกับเครื่องอื่น

โทเค็นระยะสั้นและโทเค็นระยะยาว

โทเค็นการเข้าถึงของผู้ใช้มี 2 รูปแบบคือระยะสั้นและระยะยาว โทเค็นระยะสั้นโดยมากจะมีอายุการใช้งานประมาณ 1-2 ชั่วโมง ส่วนโทเค็นระยะยาวโดยมากจะมีอายุการใช้งานประมาณ 60 วัน คุณไม่ควรคาดหวังว่าอายุการใช้งานที่เหลืออยู่จะตรงกับที่ระบุ เพราะอาจมีการเปลี่ยนแปลงโดยไม่แจ้งให้ทราบหรือหมดอายุก่อนกำหนดได้

Credit: blognone 

           developers.facebook





หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล

และเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....