我正在制作Android应用程序和API,我需要实现Facebook登录。我在想这个:
login方法。id: 506, facebook-id:45645679843。但是,我的解决方案看起来很不安全。如果有人login使用其FB用户ID进行API调用,那么他将获得该帐户的访问令牌。那么我该如何解决呢?如何检查登录是否有效?
编辑:登录后能否获得类似登录令牌的东西,将该令牌发送到我的API并检查其是否在那里有效?还是FB SDK没有这样的功能?
EDIT2:您如何看待这种方法?
login方法。我认为不可能对您计划的系统结构进行这种验证。但是,您可以解决这样的问题。
对于要构建的API,请确保发送了一个“秘密令牌”以及FBuser ID。这个秘密令牌
前任。yourapp-0122120123--123i1eqwejoe19_qqw13e !! sdokdf
将仅对您知道,因此即使其他人发送了请求,如果所传递的参数中不存在密码,您也可以识别出这是无效的API调用。
我在这里的假设是FBuserID自动插入到请求中,并且您不允许用户在此处手动输入参数,基本上所有事情都是通过代码进行的,否则用户可能会发出假请求:-)
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句