设置
1. A LAMP web application that uses SOLELYFacebook for authent./author
(i.e. NO credentials set/asked by the web app)
2. A smartphone app that uses ONLY Facebook for authent./author.
3. A web service provided by -1- for -2- to communicate. https, of course.
4. A client-side Javascript that uses the same web service (-3-) for asynchronous CRUD
用例:
A. The user signs in to - 1 - and Facebook id is saved on
server-side as well as a custom id.
B. The user signs in to - 2 - and the same happens on client-side.
C. The user enters data into - 2- which is stored locally.
D. Now comes the tricky part: 2 must send the data to 1 via 3.
E. Now even trickier: 4 must do the same.
我的问题:
我的问题是找到一种策略来验证和授权 D & E 中的通信。如果用户要输入凭据,这将很容易。这些将存储在本地,他是触发器。而且只有他!但是,当仅将 Facebook 用于 auth/author. 时,authent. 永远不会发生在客户端。因此,据我了解,服务器必须提供某种合法性。例如,这将是密钥或令牌。
我的问题: 客户端应用程序 -3- 最初应该如何向服务器验证用户(facebook id?)?如何防止某人将 facebook id 发送到服务器服务,从而获得对 CRUD 的访问权限?某种应用程序密钥(如 Facebook 访问令牌)是否足够?
如果是这样,浏览器中的 -4- Javascript 怎么样?在哪里存储应用程序密钥?窃取该令牌,将其用于-1-的身份验证然后访问某个Facebook用户的所有数据不是很容易吗?