我有一个使用 facebook 连接的网站。
我有一个关于我正在为其构建的 iPhone 应用程序的安全相关问题。
对于网站,我在数据库中保留了一个 USERS 表。
除其他外,USERS 表具有以下字段:
ID (int) an internal auto-generated id
FBID (int) the facebook user id
GUID (varchar 40) a random long guid for API uses
当用户登录我的网站时,在通过 facebook 批准我的网站后,他会被重定向到 login.php 页面,我在该页面中获取他的 FBID 并通过创建新用户或查找现有用户轻松登录。我将 GUID 保留在会话中。
为了为我的网站构建 iphone 应用程序,我下载了 iOS facebook SDK。
显然,与网站场景相同,在批准过程结束时,我得到了用户的 FBID。问题是在我看来,将 FBID 发送到我的网站是不安全的。如果我打开一个获取 FBID 并让用户登录的 API - 任何人都可以发送他/她朋友的 FBID 并以他们的名义登录我的网站。这个对吗?如果是这样 - 我该怎么办?
干杯,