0

在 Facebook 开发者文章Manually Building a Login Flow中,有一节题为“Confirming Identity”。它提到您需要验证您通过redirect_uri.

我的问题:由于您对刚刚登录的用户一无所知,您如何验证您在令牌检查端点user_id的响应中看到的内容是否正确?

文章说:

因此,在为他们生成访问令牌之前,您的应用应确认使用该应用的人与您拥有响应数据的人是同一个人。

但是,你怎么能真正做到这一点呢?user_id我们是否希望通过询问“这是你吗?”的 UI 向用户显示有关该信息的公开可用信息。我还没有看到任何这样做的应用程序/网站,所以我假设这实际上并没有完成。

我错过了什么吗?

4

1 回答 1

0

您可以使用FB.getLoginStatus来检索有关已登录用户的信息。它为用户返回一个响应对象。如果用户已经对您的应用程序进行了身份验证,则响应对象将如下所示:

{
    status: 'connected',
    authResponse: {
        accessToken: '...',
        expiresIn:'...',
        signedRequest:'...',
        userID:'...'
    }
}

您可以使用此对象中返回的 UserId 来验证用户的身份。

于 2013-12-30T01:47:20.583 回答