我们允许用户仅使用 facebook 访问令牌作为凭证来访问我们的后端(使用 REST api over https 和 json 回复),所以我们想做两件事:
验证访问令牌并找到用户的 id - 这只是对https://graph.facebook.com/me?access_token=TOKEN的调用
确保此访问令牌属于我们的 facebook 应用程序。您可以调用 https://graph.facebook.com/app?access_token=TOKEN,但这似乎是一个未记录的功能(而且有时相当慢)。
谁能告诉我这实际上是否是一种可能会留在那里的标准方法?或者是否有另一种方法来做我们想做的事情:验证用户的访问令牌是否有效并且来自我们的 facebook 应用程序。
你可以打电话给我/权限和我?字段=已安装,但这些似乎都没有告诉我我们正在检查哪个 facebook 应用程序。