假设一个 facebook 游戏奖励用户在游戏中使用的虚拟货币,用于在他们的墙上发布来自游戏的事件。
使用 IFrame 方法,{ post_id: 'some id' }
当用户成功完成帖子时,我在客户端上获得了一个 JavaScript 回调,并且生活很好。
当帖子发生在客户端时,我必须向服务器发送地址并为用户提交奖励,向服务器提供 post-id,这是使用某种形式的 JSONP HTTP 请求完成的。
剥离防止滥用的防御机制,以确保用户不会过度发布帖子并在游戏中惹恼他们所有的朋友,让我们专注于这个问题:
- 因为服务器调用可以很容易地使用类似
curl
or的工具fiddler
来模拟,在签署请求和所有之后,我仍然需要确保这个请求中的 post-id 确实post_id
来自 facebook,并且这篇文章是确实在用户的墙上可见 - 至少对他的朋友来说......
(因为,不,发布为只有您可以看到的私人帖子不应该用虚拟货币奖励您)
最好的方法是什么?