0

我有一个使用 facebook 连接的网站。

我有一个关于我正在为其构建的 iPhone 应用程序的安全相关问题。

对于网站,我在数据库中保留了一个 USERS 表。

除其他外,USERS 表具有以下字段:

ID   (int) an internal auto-generated id
FBID (int) the facebook user id
GUID (varchar 40) a random long guid for API uses

当用户登录我的网站时,在通过 facebook 批准我的网站后,他会被重定向到 login.php 页面,我在该页面中获取他的 FBID 并通过创建新用户或查找现有用户轻松登录。我将 GUID 保留在会话中。

为了为我的网站构建 iphone 应用程序,我下载了 iOS facebook SDK。

显然,与网站场景相同,在批准过程结束时,我得到了用户的 FBID。问题是在我看来,将 FBID 发送到我的网站是不安全的。如果我打开一个获取 FBID 并让用户登录的 API - 任何人都可以发送他/她朋友的 FBID 并以他们的名义登录我的网站。这个对吗?如果是这样 - 我该怎么办?

干杯,

4

1 回答 1

0

您可以将访问令牌与 Fbid 一起发送到您的服务器,然后向 facebook 发出请求。

https://graph.facebook.com/me?access_token=XYZ

这将与 Fbid 一起返回您的列表,然后您可以检查两个 FBId 是否相同,因此执行身份验证.. 希望这会有所帮助。

于 2012-08-18T04:32:00.290 回答