我想我不完全理解 facebook OAuth-API 处理身份验证的方式。据我了解,它的工作原理基本上是这样的(客户端是 Android 手机,我的服务器是标准 LAMP 设置): fb auth http://i.imagebanana.com/img/hvlsb2dp/fbAuth.png
现在的问题是,客户端当然可以通过向我的服务器提交错误的用户 ID 来伪造第 3 步 - 例如,如果我的服务器响应请求http://server.com/getConfidentialData.php?fbID=%FBID%,并且用户设法获取其他人的 fb-userID,他可以将其放入请求中,他将获得属于其他人的数据。
如果我使用PHP-SDK,它如何知道我的用户是否登录了Android-App?
这是它应该工作的方式,还是我错过了什么?
谢谢,大卫。