我想创建一个将使用oauth向我的服务器进行身份验证的应用程序。我的问题是这将如何工作?
我的客户端将使用HTTPS与Facebook进行通信并获得访问令牌。然后将其发送到我的服务器端进行身份验证?我的服务器应该将令牌保存在数据库中吗?如何验证令牌?
这将如何工作。?
当客户端需要授权来访问有关用户的某些信息时,浏览器(用户代理)会将资源所有者重定向到OAuth授权服务器。在那里,用户面对一个身份验证对话框(如果用户已经过身份验证,则不会显示此对话框),然后向他或她显示一个授权对话框,解释客户端正在请求的权限以及需要访问的信息或代表他或她需要采取的行动。
访问令牌应该将其发送到我的服务器端进行身份验证吗?还是服务器应该将令牌保存在数据库中?
根据您的描述,我建议使用服务器端登录流程。-这样令牌就已经在您的服务器上了,不需要从客户端传递。如果您使用的是非加密连接,则可能存在安全风险。
(在用户成功登录后,使用HTTPS将用户的ID令牌发送到您的服务器。然后,在服务器上,验证ID令牌的完整性并从ID令牌的子声明中检索用户的ID。您可以使用user通过这种方式传输的ID可以安全地标识后端上当前登录的用户。)
-看
https://developers.facebook.com/docs/facebook-login/manually-build-a-login-flow/v2.2#login
如何验证令牌?
您可以点击此链接,您将获得针对应用程序的分步解决方案。iPhone应用程序的Facebook访问令牌服务器端验证
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句