Python - Facebook Open Graph API错误:必须使用活动访问令牌来查询有关当前用户的信息 - 腾讯云开发者社区

文章/答案/技术大牛

发布

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

这里有一份官方指南，本指南演示了从 Facebook 获取信息，并使用 Graph API 将信息发布到 Facebook 平台上的相关知识。...中读取数据首先是查询当你打开 Graph API Explorer 时，它将自动加载最新版本的 Graph API 和默认的 GET 请求，如：GET / me？...访问令牌的默认权限是允许用户访问公共配置的文件信息。按照你的方式继续并点击提交。资源管理器将在查询窗口的下方返回相应的用户响应。更多的用户数据在上面的例子中，你检索了与你有关的一些公共数据。...想要获取用户访问令牌，首先必须要登录你的 Facebook 账号，随后系统将审阅你所发送应用信息，并根据你的需要提供相应的访问权限。...如果系统响应成功的话，那么所返回的响应将是发布到页面的消息的 page_id 。点击访问令牌圆圈图标，来查看有关页面访问令牌的信息。

5.3K5 0

Facebook Graph API(1)—介绍

API 1.Open Graph可以让广大用户发现你的应用或者业务 2.可以加入更多社交内容，你的朋友可能会对你的内容感兴趣 3.使用Facebook Login统一登录，可以减少投入，并且可以跨不同设备...The Graph API Explorer API Explorer是一个低级工具，使用它开发者可以查询，添加和删除相关数据。对开发者开发应用非常有帮助。 ?...HTTP请求的路径是: graph.facebook.com Names 可以根据name来获取用户信息。...例如: /yourfacebookname 还有一个特别的路径来访问用户信息:/me 微软Live Connect使用的相同方式来获取用户信息。使用 /me 来获取用户信息需要认证。 ?...Connections 连接是通过构建不同的URL通过Graph API去获取用户的具体信息。再获取用户信息前提是用户必须授权给应用，否则返回空的数据集合。

2.7K8 0

您找到你想要的搜索结果了吗？

是的

没有找到

2010 年的那场 F8 大会，是 Facebook 数据泄露的根源

这也是一个非常谷歌化的解决方案：如果一家公司的座右铭是“组织世界的信息，并让这些信息普遍可访问并且可用”，那么在面对有问题的信息时，它就会寻求用更多的信息来补救它。不告诉维基百科也没关系。...FACEBOOK与谷歌以及GRAPH API Facebook于2010年推出了所谓的“Open Graph” ；首席执行官马克·扎克伯格（Mark Zuckerberg）率领 Facebook 召开了...这是一个优势，因为用户生成了Facebook的内容，而且这些内容对于谷歌来说是不可用的，但Facebook没有明显的方式在更大的web上收集数据，这正是Open Graph的出现的原因; Facebook...如果一个人通过他或她的Facebook帐户登录到Dashboard，该活动可以在获得许可的情况下访问该用户的Facebook好友。奥巴马团队称之为“有针对性的分享”。...所以现在，如果有人访问你的网站，并且授予你访问其信息的权限，你就可以存储他的数据了。没有必要日复一日地完成相同的API调用。不再需要构建不同的代码路径来处理Facebook用户与你共享的信息。

1.2K10 0

PwnAuth——一个可以揭露OAuth滥用的利器

访问令牌可以在设定的时间段内使用，从API资源访问用户的数据，而无需资源所有者采取任何进一步的行动。...攻击者可能会创建恶意应用程序，并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码，并能绕过双因素认证。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...使用PwnAuth的第一步是创建一个Microsoft应用程序。这些信息必须输入到PwnAuth（图1）。 ?...例如，使用PwnAuth向受害者的邮箱查询包含字符串“password”的所有消息（图3）。 ? 图3：搜索受害者的邮箱有关使用的更多信息，请参阅GitHub wiki 。

2.5K2 0

Facebook Graph API(2)--读取数据之picture

Picture(图片) 在Graph API中提到图片不是照片的。此处的picture是指用户的头像，组，事件或应用和相册的图片。所以使用avatar也不是很好，毕竟不仅仅是用户头像。...但是这种方式是需要在访问令牌的应用或者网站中。...所以需要设置access_token=token.但是facebook graph api目前没有给出不用访问令牌时，每个小时的最大访问次数。 5.内容审核因为这个api是去读取对象的图片。...但是每个国家都地理区域或者年龄的审核。打个比方：应用时限制18岁以上成人使用，应用必须获取用户的授权，并且确定用户的年龄大于18岁。 6.支持头像的对象可以使用picture参数的对象有上面这些。...这也是facebook不取名为avatar，因为不仅仅是用户的头像，还有其他很多对象使用picture. 6.图片尺寸可以设置type参数来指定图片的大小尺寸直接设置width和height来返回指定的大小的图片

3.4K7 0

OAuth 2.0初学者指南

OAuth通过在用户批准访问权限时向请求（客户端）应用程序授予令牌来执行此操作。每个令牌在特定时间段内授予对特定资源的有限访问权限。 1....授权服务器请求有关客户端的一些基本信息，例如name，redirect_uri（授权服务器在资源所有者授予权限时将重定向到的URL）并将客户端凭据（client-id，client-secret）返回给客户端...相反，使用通过浏览器传递的中间“授权代码”来完成授权。在对受保护的API进行调用之前，必须将此代码交换为访问令牌。 ii）隐性拨款：此拨款类型适用于公共客户。隐式授权流程不适用刷新令牌。...客户端交换其客户端凭据以获取访问令牌。 7.令牌已过期，获取新的访问令牌：如果访问令牌由于令牌已过期或已被撤销而不再有效，则使用OAuth 2.0访问令牌进行API调用可能会遇到错误。...在这种情况下，资源服务器将返回4xx错误代码。客户端可以使用刷新令牌（在授权代码交换访问令牌时获得）获取新的访问令牌。 8.结论：这是尝试提供OAuth 2.0过程的概述，并提供获取访问令牌的方法。

3.6K3 0

Spring Boot 与 OAuth2

然后，它使用访问令牌向Facebook询问一些个人信息（仅限于你允许的内容），包括你的登录ID和你的姓名。...在这个阶段，facebook充当了一个资源服务器，对你发送的令牌进行解码，并检查它给了应用程序访问用户详细信息的权限。...保护用户信息端点要使用我们的新授权服务器进行单点登录，就像我们使用Facebook和Github一样，它需要有一个受其创建的访问令牌保护的 /user端点。...添加错误页面为了支持客户端中的标志设置，我们需要能够捕获身份验证错误，并使用在查询参数中设置的标志重定向到主页。...为了使事情更有趣，我们将扩展身份验证规则以拒绝不在正确组织中的用户。使用GithubAPI可以很容易地找到有关用户的更多信息，因此我们只需要正确地将其插入身份验证过程的部分。

12.2K12 0

黑客利用ChatGPT劫持Facebook账户

如果某个用户在 Facebook 上有一个活动、经过验证的会话，则恶意扩展插件为开发人员访问 Meta 的 Graph API。...API 访问使扩展能够获取与用户 Facebook 帐户相关的所有数据，甚至可以代表用户采取各种行动。...如果恶意扩展遇到了一个商业 Facebook 帐户，它会快速获取与该帐户相关的所有信息，包括当前活动的促销活动、信用余额、货币、最低计费阈值等。...一个有经济动机的网络罪犯活动在 Facebook 通过其 Meta Graph API 授予访问权之前，首先必须确认该请求是来自一个经过认证的可信用户，为了规避这一预防措施，威胁者在恶意的浏览器扩展中加入了代码...最后，Guardio 评估后表示，威胁行为者可能会将其从活动中收获的信息卖给出价最高的人，该公司还预计攻击者有可能创建一个被劫持的 Facebook商业账户的机器人大军，利用受害者账户的钱来发布恶意广告

1.8K2 0

Spring Security OAuth 2开发者指南译

提供者通过管理和验证用于访问受保护资源的OAuth 2.0令牌来实现。在适用的情况下，提供商还必须提供用户界面，以确认客户端可以被授权访问受保护资源（即确认页面）。...授权服务器配置在配置授权服务器时，必须考虑客户端用于从最终用户获取访问令牌（例如授权代码，用户凭据，刷新令牌）的授权类型。...通过访问令牌来保护这些请求，您需要他们的路径不与主用户面临的过滤器链中的路径匹配，因此请务必包含仅在WebSecurityConfigurer上述中选择非API资源的请求匹配器。...有关更多信息，请参阅Spring Security用户指南，或查看whitelabel实现的指导。执行SSL 普通HTTP对于测试是很好的，但授权服务器只能在生产中使用SSL。...Facebook令牌响应在令牌的到期时间（它们使用expires而不是expires_in）中也包含不符合规定的JSON条目，因此，如果要在应用程序中使用到期时间，则必须使用自定义手动解码OAuth2SerializationService

2.8K1 0

Auto-Tinder-训练AI玩打火机刷卡游戏

在本文档中，将解释创建自动绑定所需的以下步骤：分析tinder网页以找出tinder内部API调用的内容，在Postman中重构API调用并分析其内容在python中建立一个API包装器类别，使用Tinder...如果复制图像URL并在私人窗口中打开它，它仍然会立即加载-这意味着tinder将所有用户图像公开上传到Internet，任何人都可以自由查看。通过API可访问的原始照片具有极高的分辨率。...通过以下方式应对这些挑战：将图像转换为灰度，以将AI必须学习的信息量减少三倍（RGB到G）仅切出图像中实际包含该人的部分，仅此而已第一部分就像使用“枕头”打开图像并将其转换为灰度图一样容易。...下一个函数获取图像和张量流图，使用它运行一个张量流会话，并返回有关检测到的类（对象类型），边界框和得分（确定正确检测到对象的确定性）的所有信息。...首先，使用api令牌初始化tinder API。然后使用重新训练的图和标签将分类张量流图打开为张量流会话。然后获取附近的人员并进行可能性预测。

1.9K2 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...其中，利用OAuth 2.0授权框架中的“用户同意”（User Consent）机制实施的钓鱼攻击，因其完全运行于合法认证流程之内，成为当前最隐蔽且最具破坏力的威胁之一。...一旦同意，攻击者即获得授权码，兑换为访问令牌（access token）与长期有效的刷新令牌，从而无需再次触发MFA即可持续访问用户邮箱与文件。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...所提出的纵深防御体系，从策略控制、实时拦截、事后审计到行为监控，形成了闭环防护。实践表明，仅靠技术手段不足，必须结合身份治理流程与用户认知提升，方能有效应对这一“合法外衣下的非法访问”。

2431 0

使用git-wild-hunt来搜索GitHub中暴露的凭证

写在前面的话在这篇文章中，我们将使用git-wild-hunt来搜索暴露在GitHub上的用户凭证信息。接下来，我们需要按照下列步骤安装和使用git-wild-hunt。...安装工具配置GitHub令牌搜索凭证查看结果：cat results.json | jq 工具安装该工具的使用需要主机预先安装好Python3和Virtualenv。...我们可以根据自己的需要去添加或修改其中的正则表达式，以匹配我们所要查询的内容。...当前可以通过正则表达式验证的凭证包括： AWS API密钥 Amazon AWS Access密钥 ID Amazon MWS Auth令牌 Facebook访问令牌 Facebook OAuth Generic...Webhook Square访问令牌 Square OAuth Secret Stripe API密钥 Stripe Restricted API密钥 Twilio API密钥 Twitter访问令牌

2.4K1 0

使用OAuth 2.0访问谷歌的API

应用程序应该保存令牌以供将来使用刷新和使用令牌来访问谷歌的API访问。一旦访问令牌过期后，应用程序使用令牌来获得一个新的刷新。有关详细信息，请参阅使用OAuth 2.0 Web服务器应用程序。...应用程序应该保存令牌以供将来使用刷新和使用令牌来访问谷歌的API访问。一旦访问令牌过期后，应用程序使用令牌来获得一个新的刷新。有关详细信息，请参阅使用OAuth 2.0安装的应用程序。...应用程序应该保存令牌以供将来使用刷新和使用令牌来访问谷歌的API访问。一旦访问令牌过期后，应用程序使用令牌来获得一个新的刷新。有关详细信息，请参阅使用OAuth 2.0设备。...然后，应用程序将令牌发送请求到谷歌的OAuth 2.0授权服务器，它返回的访问令牌。该应用程序使用令牌来访问谷歌的API。当令牌过期后，应用重复该过程。有关详细信息，请参阅服务帐户的文档。...令牌过期您必须编写代码来预测这种可能性，即授予刷新令牌可能不再工作。刷新令牌可能会停止对这些原因的工作：用户已撤销你的应用程序的访问。刷新令牌没有被使用六个月。

6.4K1 0

开放授权之道：OAuth 2.0的魅力与奥秘

移动应用开发: 移动应用可以使用OAuth 2.0来安全地获取用户许可，而不存储用户的敏感信息。隐式授权方式通常用于移动应用，简化了流程。...云服务集成: 企业可以使用OAuth 2.0来整合各种云服务，例如使用Google Drive API或Microsoft Graph API，以实现对云存储和办公应用的访问。...成功案例： Google API: Google使用OAuth 2.0来允许第三方应用程序访问用户的Google服务，例如Gmail、Google Drive等。...Facebook API: Facebook使用OAuth 2.0来允许开发者通过API访问用户的Facebook数据，例如个人资料信息、相册等。...如果客户端需要用户信息，它必须通过其他方式获取，例如使用访问令牌访问用户信息端点。 OpenID Connect： OpenID Connect引入了ID令牌，该令牌包含有关用户的标准化信息。

8921 1

flask 应用程序编程接口（API）最后一节

这意味着，在Web开发中常见的在无状态API中，每个请求都需要包含服务器需要识别和验证客户端并执行请求的信息。这也意味着服务器无法在数据库或其他存储形式中存储与客户端连接有关的任何数据。...理想情况下，客户端可以输入一个API，而不需要任何有关其中的资源的信息，就可以简单地通过超媒体链接来了解它们。...前三个参数是烧瓶SQLAlchemy的查询对象，页码和每页数据数量。这些是决定该实现使用查询对象的paginate()方法来获取该页的压缩，就像我对主页，发现页和个人主页中的用户动态维护的一样。...我的令牌验证函数使用User.check_token()来定位令牌所属的用户。该函数还通过将当前用户设置为None来处理缺失令牌的情况。...如果您直接对上面列出的受令牌保护的端点发起请求，导致得到一个401错误。为了成功访问，您需要添加Authorization标题，其值是请求/ api / tokens获得的令牌的值。

6.2K1 0

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

这里直译起来比较拗口，其实说白了，就是这个令牌用于谁，使用令牌去访问谁，谁就是audience。　　2，iss（Issuer）：颁发者。...通过User的用户名和密码向认证中心申请访问令牌。　　按照惯例，在postman中直接进行调用order的接口。 ResponseCode:401,提示没有权限。...参数必传　　　　username：用户的电子邮件地址　　　　password：用户的密码　2）访问 api/order 砰，成功！...此处应该有掌声，成功的通过验证，并且获取到 api资源，但是这种模式是最不推荐的，因为client可能存了用户密码，此模式仅用于受信任的客户端。复制会发生密码泄露。所以不推荐使用。...此值告知 Microsoft 标识平台终结点：在为应用配置的所有直接应用程序权限中，终结点应该为与要使用的资源关联的权限颁发令牌使用共享机密访问令牌请求：https://docs.microsoft.com

3K1 0

Yii2实现QQ互联登录

访问或修改用户信息。...允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。而这种授权无需将用户提供用户名和密码提供给该第三方网站。...OAuth允许用户提供一个令牌给第三方网站，一个令牌对应一个特定的第三方网站，同时该令牌只能在特定的时间内访问特定的资源。...用户：服务商的用户第三方：通常是网站，该网站想要访问用户存储在服务商那里的信息。比如某个提供照片打印服务的网站，用户想在那里打印自己存在服务商那里的网络相册。...7、第三方网站根据临时令牌从服务商那里获取访问令牌。 8、服务商根据令牌和用户的授权情况授予第三方网站访问令牌。 9、第三方网站使用获取到的访问令牌访问存放在服务商的对应的用户资源。

1.6K3 1

Spring Security OAuth 2开发者指南

提供者通过管理和验证用于访问受保护资源的OAuth 2.0令牌来执行此操作。在适用情况下，提供商还必须为用户提供一个接口，以确认客户端可以被授权访问受保护资源（即确认页面）。...授权服务器配置在配置授权服务器时，必须考虑客户端要从最终用户获取访问令牌（例如授权代码，用户凭据，刷新令牌）的授权类型。...通过访问令牌来保护这些请求，您需要将其路径与主要面向用户的过滤器链中的路径不匹配，因此请确保包含仅在WebSecurityConfigurer上述中选择非API资源的请求匹配器。...有关更多信息，请参阅Spring Security用户指南，或查看whitelabel实现的指导。执行SSL 纯HTTP可用于测试，但授权服务器只能在生产中使用SSL。...Facebook令牌响应还会在令牌的到期时间内包含一个不合规的JSON条目（它们使用expires而不是expires_in），因此如果要在应用程序中使用到期时间，则必须使用自定义手动解码OAuth2SerializationService

2.7K2 0

OAuth 详解什么是 OAuth?

要了解有关 JWT 的更多信息，请参阅A Beginner's Guide to JWTs in Java。令牌是从授权服务器上的端点检索的。两个主要端点是授权端点和令牌端点。...您可以使用访问令牌来访问 API。一旦它过期，您将必须使用刷新令牌返回到令牌端点以获取新的访问令牌。缺点是这会引起很多开发人员的摩擦。OAuth 对开发人员来说最大的痛点之一是您必须管理刷新令牌。...一旦用户获得授权并将其交给应用程序，客户端应用程序就不再需要使用浏览器来完成 OAuth 流程来获取令牌。令牌旨在由客户端应用程序使用，以便它可以代表您访问资源。我们称之为后台通道。...获得访问令牌后，您可以在身份验证标头中使用访问令牌（使用作为token_type前缀）来发出受保护的资源请求。...用户代码是从授权请求返回的，必须通过访问带有浏览器的设备上的 URL 来兑换授权。客户端应用程序使用反向通道流来轮询访问令牌和可选的刷新令牌的授权批准。也很受 CLI 客户端的欢迎。

7.2K2 0

VoidProxy平台对多因素认证的绕过机制与防御对策研究

在此过程中，攻击者不仅捕获用户名与密码，更重要的是截获认证成功后返回的会话Cookie、OAuth 2.0访问令牌及刷新令牌（Refresh Token），从而实现无需凭证重放的持久化账户访问。...，即使用户登出仍有效；Access Token：短期有效（通常1小时），但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等，完全绕过前端UI与MFA提示。...例如，若受害者通常使用Windows 11 + Chrome 124访问Office 365，攻击者将配置代理以相同特征发起API请求，使登录活动在审计日志中呈现为“正常行为”。...指标包括：登录IP是否在历史地理围栏外；User-Agent是否与设备注册信息一致；是否在短时间内访问大量敏感资源（如/me/drive/root:/Board/）。

2471 0

点击加载更多

还原Facebook数据泄漏事件始末，用户信息到底是如何被第三方获取的？

Facebook Graph API(1)—介绍

2010 年的那场 F8 大会，是 Facebook 数据泄露的根源

PwnAuth——一个可以揭露OAuth滥用的利器

Facebook Graph API(2)--读取数据之picture

OAuth 2.0初学者指南

Spring Boot 与 OAuth2

黑客利用ChatGPT劫持Facebook账户

Spring Security OAuth 2开发者指南译

Auto-Tinder-训练AI玩打火机刷卡游戏

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

使用git-wild-hunt来搜索GitHub中暴露的凭证

使用OAuth 2.0访问谷歌的API

开放授权之道：OAuth 2.0的魅力与奥秘

flask 应用程序编程接口（API）最后一节

【壹刊】Azure AD 保护的 ASP.NET Core Web API （下）

Yii2实现QQ互联登录

Spring Security OAuth 2开发者指南

OAuth 详解什么是 OAuth?

VoidProxy平台对多因素认证的绕过机制与防御对策研究

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐