我正在为一个使用 FB 连接的网站构建一个 Android 应用程序,通过 FB id 将他们的用户数据与 FB 用户数据链接起来。当我允许用户通过 Facebook 的 Android SDK 登录时,我会得到一个访问令牌,我可以代表用户请求数据。我想将访问令牌发送到服务器,然后让服务器请求用户的 id 以创建本地会话并将特定于该网站的用户数据发回给我。Facebook 是否允许以这种方式使用访问令牌(从设备进行身份验证,然后使用相同的令牌从服务器请求数据)?另一种方法是使用设备上的 SDK 来获取 FB 用户 ID,然后将其传递给服务器,但我觉得允许仅使用 FB 用户 ID 创建会话不是很安全。这将是一件容易冒充的事情。
这个用例的典型场景是什么(通过 Facebook SDK 登录以在您自己的 Web 应用程序上创建一个会话,其中用户数据已经链接)?