我有一个托管在 html 文件中并使用 javascript 的 facebook 游戏。当用户 A 到达 facebook 游戏时,会将它自己的 uid 发送到服务器并制作一些东西(对于这个问题无关紧要)。
现在我的问题是:我怎样才能信任那个用户?
- 我不想有另一个登录/注册步骤
为什么我害怕?想象一下,你打开控制台并发送一个带有用户 B id 的请求,我会盲目接受,即使你是用户 A!
也许使用 OAuth2 和 npm 护照?
谢谢,
我有一个托管在 html 文件中并使用 javascript 的 facebook 游戏。当用户 A 到达 facebook 游戏时,会将它自己的 uid 发送到服务器并制作一些东西(对于这个问题无关紧要)。
现在我的问题是:我怎样才能信任那个用户?
为什么我害怕?想象一下,你打开控制台并发送一个带有用户 B id 的请求,我会盲目接受,即使你是用户 A!
也许使用 OAuth2 和 npm 护照?
谢谢,
在您的客户端中,当您使用 facebook api 登录时,像这样抓取它:
FB.getLoginStatus(function(response){
this.__authToken = response.authResponse.accessToken;
this.__signedRequest = response.authResponse.signedRequest;
this.__status = response.status;
this.__userId = response.authResponse.userID;
initFuture.done();
}.bind(this));
然后发送到服务器。在这里,您将使用 fbgraph node_module
var graph = require('fbgraph');
graph.setAccessToken(data.authToken);
graph.get('/me', {}, function(err, data){
debugger;
});
图的 API
graph(url, arguments, callback)
url: String
arguments: Object
callback: function
在此处检查 Graph API:https ://developers.facebook.com/docs/graph-api/