1

我正在尝试构建一个 facebook 身份验证的 Web 应用程序,这样就不必构建我自己的。因此,在 facebook 对他们进行身份验证并向我提供他们的 user_id 之后,我可以简单地将其存储在他们的数据库中。

显然,我想保护我的用户不被纯粹使用他们的 user_id 欺骗。这是我想出的:

  1. 我不会在浏览器和我的服务器之间来回传递 user_id,而是传递signed_request,因为在不知道我的 app_secret 的情况下不能欺骗它
  2. 为了防止被嗅探和重用,我将把我的请求封装在 SSL (HTTPS) 中
  3. 为了防止使用过时的signed_requests,我将确保issued_at 是相对较新的。

这部分是signed_request 的用途,还是有更正确的方式来使用facebook 身份验证?

我的方法有什么明显的问题吗?

谢谢!

4

1 回答 1

0

这是对用户进行身份验证的明智方式。我认为您已经涵盖了绕过身份验证系统的所有可能方法,因此您应该没有问题。

如果您尝试进行 API 调用,您还应该使用该FB.getLoginStatus()功能为已经登录到您的应用程序的用户提供个性化体验。

于 2012-05-31T08:23:35.680 回答