我目前正在构建一个网络服务,以允许移动应用程序使用 Facebook 登录我们的应用程序。实现该功能的最佳实践是什么?
我目前的流程是:
第一个条件:用户还没有注册...
- 用户点击移动应用程序中的“使用 Facebook 登录”按钮。
- 然后,用户允许我为移动应用程序创建的 Facebook 应用程序的权限。
- 应用从 Facebook API 检索到电子邮件地址、Facebook ID 号和姓名
- 该应用程序检查 Facebook ID && 电子邮件地址是否已在我们的数据库中注册
如果没有注册:
- 电子邮件地址,姓名,将自动填写到注册表单中
- 提交后,应用程序将信息(全名、电子邮件、哈希密码和 facebook Id 发送到服务器,注册用户)
如果已经注册: - 服务器返回用于应用内活动的令牌代码
你认为那里会有安全问题吗?我在想,如果有人认识您,知道您的 Facebook ID(可以使用 Graph 工具获取),并且可能知道您的电子邮件地址,那么人们可以通过将所有数据发送到服务器轻松登录到应用程序。
另外,我正在考虑使用 Twitter 实现相同的方法,但似乎无法使用 Twitter API 检索电子邮件。使用 Twitter API 的任何解决方法?
非常感谢您的回答。