我已经在stackoverflow上看到了一些问题:
- 如何通过 javascript 验证 facebook 用户的安全性?
- 具有服务器端访问用户数据的 Facebook 登录插件
- 如何通过 Facebook 的 Javascript SDK 安全地授权用户
尤其是最后一个似乎很有帮助。
因此,如果我调用FB.getLoginStatus()
它并返回了signed_request 和issued_at 时间,我只需将这两个参数传递给服务器,解析它并通过调用服务器端的Facebook API 来检查它,以检查传递的参数是否正确?
我计划编写的应用程序将无法使用 cookie 将这些内容发送到服务器。相反,我需要通过 websockets(secure) 将它发送到服务器。因此,传输基本上是通过 TLS 保护的,但我不知道仅检查 signed_request 和 issue_at 时间是否足够。