将 facebook 访问令牌从移动客户端传递到服务器并进行处理
Pass facebook access token from mobile client to server and process
我希望开发一个可以与移动客户端交互的 REST API。我正在考虑实施以下流程,希望你们能引导我朝着正确的方向前进:
- 用户访问移动应用程序,然后将使用 facebook(应用程序)注册
- 一旦用户成功通过身份验证,生成的令牌将传递到服务器(通过 API 端点)
- 服务器将接受此令牌并将尝试使用此令牌查询 facebook 服务器并处理返回的信息
这可能吗?我正朝着正确的方向前进吗?
这不仅是可能的,而且这是 Facebook 推荐的方法。这在 FB 术语中称为“token debugging”。
token 需要由您的服务器通过调用令牌 debug Facebook api 来检查和验证。
如果您不在服务器上验证令牌,您的应用可能会受到各种攻击,例如另一个开发人员可以使用在另一个应用程序上生成的令牌来获得进入权。
正确的做法是:
- 测试该用户是令牌所属的用户
- 您的应用与为其生成令牌的应用相同
- 令牌本身有效。
您可以手动检查令牌,以便使用在线工具测试您的代码:https://developers.facebook.com/tools/debug/
我希望开发一个可以与移动客户端交互的 REST API。我正在考虑实施以下流程,希望你们能引导我朝着正确的方向前进:
- 用户访问移动应用程序,然后将使用 facebook(应用程序)注册
- 一旦用户成功通过身份验证,生成的令牌将传递到服务器(通过 API 端点)
- 服务器将接受此令牌并将尝试使用此令牌查询 facebook 服务器并处理返回的信息
这可能吗?我正朝着正确的方向前进吗?
这不仅是可能的,而且这是 Facebook 推荐的方法。这在 FB 术语中称为“token debugging”。
token 需要由您的服务器通过调用令牌 debug Facebook api 来检查和验证。
如果您不在服务器上验证令牌,您的应用可能会受到各种攻击,例如另一个开发人员可以使用在另一个应用程序上生成的令牌来获得进入权。
正确的做法是:
- 测试该用户是令牌所属的用户
- 您的应用与为其生成令牌的应用相同
- 令牌本身有效。
您可以手动检查令牌,以便使用在线工具测试您的代码:https://developers.facebook.com/tools/debug/