我正在构建一个 web 应用程序,并计划允许用户使用 Facebook 登录。我了解客户端登录过程,但我不确定如何从我自己的数据库中检索用户数据。
一旦客户端使用 Facebook 进行了身份验证,我就可以检索用户的 /me 图形节点并使用 userID 对我的数据库进行身份验证,但这将是一个巨大的安全漏洞。
我想到的另一个解决方案是将访问令牌传递给服务器并使用它来检索用户的服务器端数据,但我相信我在某处读到这不是可接受的行为。
什么是正确的方法来通知服务器,以及哪个用户已通过身份验证?
感谢您的回复!