Token Facebook là gì và cách bảo mật nó
Tình cờ thôi, mình biết đến Token Facebook (hay gọi cách khác là Access Token) qua anh Juno_Okyo (anh Mạnh Tuấn - boss J2Team). Từ đó mình đã đam mê và làm quen nhiều với nó. Bài đăng này sẽ chia sẻ lại chút ít kiến thức mình biết được sau hơn 1 năm làm việc với nó
Token Facebook (Access Token) là gì?
Trích từ Facebook:Mã truy cập là một chuỗi không theo trình tự dùng để xác định Người dùng, Ứng dụng hoặc Trang. Và ứng dụng có thể dùng mã đó để thực hiện lệnh gọi API lấy dữ liệu về. Bạn có thể lấy mã truy cập bằng nhiều phương thức...
Còn với bản thân mình thì: Token Facebook như 1 chìa khóa nhà. Nhưng nhà đó có nhiều phòng (mỗi phòng chứa 1 vài thông tin). Token có nhiều quyền tức là chìa khóa đó có thể mở nhiều phòng, tương tự ngược lại.
Và đương nhiên nếu bạn mất chìa khóa có thể mở được mọi phòng trong nhà bạn thì xin chúc mừng, bạn có thể mất nhà (mất hẳn luôn ấy chứ không phải bị trộm mỗi thông tin đâu)
Tại sao nguy hiểm vậy mà Facebook lại sinh ra Token?
Nói như nào cho dễ hiểu nhỉ? Để mình thử ví dụ nhé:
Ví dụ bạn đến công ty của bạn, lần đầu thì đăng ký nhận bàn, nhận máy tính làm việc, rồi nhận thẻ nhân viên.
Những hôm tiếp theo bạn đến, máy quét an ninh chỉ cần quét thẻ nhân viên của bạn để biết bạn là ai, bạn ngồi ở đâu và bạn có thể vào làm việc tiếp tại chỗ cũ của bạn (trong trường hợp không được đi lung tung vì camera giám sát).
Nghe qua bạn cũng biết "thẻ nhân viên" ở đây nó ám chỉ là cái gì rồi đó. Vâng, đó chính là Token. Kể cả khi người lạ cầm thẻ của bạn vẫn có thể vô tư vào lấy đồ và lấy luôn danh tính (cụ thể là tài khoản bạn).
Nó nguy hiểm ? Nghe ở trên thì có.
Có tiện ? Đương nhiên vẫn có.
Tiện ở chỗ nào ? Bạn đăng nhập Facebook rồi, tắt tab đi mở lại vẫn thấy đang đăng nhập đúng không (không chơi với mấy ông dùng ẩn danh)? Đó, tiện ở chỗ đó đấy
Tôi không muốn tiện như thế, vậy tôi vô hiệu hóa token của tôi vĩnh viễn được không?
Xin thưa, không!
Token dùng để những ứng dụng khác (thậm chí ứng dụng Facebook trên điện thoại) lấy để tra thông tin của bạn. Đoạn này nghe vậy chứ không nguy hiểm lắm đâu, họ phải biết bạn là ai thì mới cho bạn truy cập chứ. Không thể cứ mỗi click của bạn trên ứng dụng là đăng xuất ra nhập lại mật khẩu được, phải không nào ?
Vậy cách xóa Token như thế nào?
Câu hỏi này cũng được hỏi nhiều trong nhóm J2Team Community (nhóm Facebook áp dụng nhiều công nghệ, nơi mà tác giả ngồi đây đang làm kiểm duyệt )
Thứ nhất là nên thường xuyên kiểm tra nhật ký hoạt động Facebook của bạn (Trang cá nhân => Nhật ký hoạt động).
Nếu bạn thấy có những hoạt động lạ thì có vẻ tài khoản của bạn đang "hơi nhiều người dùng".
Đây cũng là lúc bạn nên tìm cách xóa (chính xác là vô hiệu hóa token cũ)
Những bước cần làm khi biết token bị đánh cắp: 1. Cài đặt => đổi mật khẩu => đăng xuất ra mọi thiết bị https://www.facebook.com/settings?tab=security§ion=password&view 2. Cài đặt => ứng dụng -> ấn vào những ứng dụng bạn cảm thấy không an toàn => chọn xóa ứng dụng https://www.facebook.com/settings?tab=applications 3. Vào trang cá nhân => mục xem thêm => lượt thích rồi xóa các trang bạn không thích đi https://www.facebook.com/me/likes 4. Vào mục bạn bè => xem thêm => Đang theo dõi => bỏ theo dõi người bạn không muốn đi https://www.facebook.com/me/following Nếu vẫn còn tình trạng đó: 5. Cài đặt => Quản lý tài khoản => Vô hiệu hóa tài khoản (tầm 2 ngày) https://www.facebook.com/deactivate/ 6. Xóa token (nếu bạn biết bị đánh cắp token nào thì thay token vào link bên dưới) https://api.facebook.com/method/auth.expireSession?access_token=(token) https://api.facebook.com/restserver.php?method=auth.expireSession&access_token=(token) 7. Nếu vẫn chưa được thì báo tài khoản bị hack https://www.facebook.com/hacked
Kiểm tra lại quyền của Token cũng như thời gian hết hiệu lực
Bạn có thể lên trang developer.facebook.com (yên tâm, trang của Facebook dành cho nhà phát triển) => Đăng nhập => Khác => Công cụ => Trình gỡ lỗi mã truy cập (hoặc đơn giản đăng nhập xong bấm vào link này https://developers.facebook.com/tools/debug/accesstoken/
Rồi nhập Token vào đây để kiểm tra
Cách lấy Token an toàn (nếu muốn dùng)
Vì anh M và F liên tục dính "phốt" vê thông tin người dùng nên việc lấy được Token hiện tại rất khắt khe và khó, cập nhật liên tục ấy.
Nên toàn bộ cách mới nhất bạn nên tìm kiếm trong nhóm J2Team Community (đã qua kiểm duyệt, tạm cho là khắt khe ).
Tương tự về cách bảo mật tài khoản Facebook thì tham khảo ở đường link này nhé (khá dài nên không tiện chia sẻ trên đây) https://www.facebook.com/groups/j2team.community/permalink/696427194022737/
Ơ thế hóa ra bài này là quảng bá nhóm à? Không không, mình quảng bá nơi mình kiểm duyệt mà, nếu bạn đọc bài này và tin mình, thì cũng nên tin những thứ mình đã duyệt, đúng không nào?