我正在编写一个使用 JSON Web 服务的 android 应用程序,我想使用 Facebook 进行身份验证。
我不确定如何保护 Web 服务。
我应该使用从 Facebook 登录返回的身份验证令牌作为 Web 服务的密码吗?
我不确定令牌的存储位置以及如何检索它?另外,当新令牌过期时,如何使用新令牌更新 Web 服务?
我正在考虑只使用 api 密钥,但这意味着如果有人反编译 apk 并取出 api 密钥,他们可能会滥用 Web 服务。
欢迎任何建议。
我正在使用 PhoneGap,所以我想可以选择使用 cookie,但我不知道具体如何。
Should I use the authentication token returned from the Facebook login as the password to the web service?
I recommend using one of our supported SDK's to handle the login auth. You, as the developer, does not have to worry about storing passwords/tokens/etc. By using fb login, we handle all of that. I recommend reading more about using Facebook as a login here.
I'm not sure on where the token is stored and how to retrieve it? Also how could I update the web service with the new token when it expires?
I would recommend reading this doc to see how we recommend to retrieve and update access token when it expires.