使用signed_request进行facebook身份验证

时间:2012-05-31 07:29:04

标签: facebook oauth facebook-javascript-sdk

我正在尝试构建一个facebook身份验证的Web应用程序,这样就不必构建自己的身份验证了。因此,在Facebook对它们进行身份验证并向我提供了user_id后,我可以将其存储在数据库中。

显然,我想保护我的用户免受纯粹使用他们的user_id欺骗。这就是我想出的:

  1. 我不会在浏览器和我的服务器之间来回传递user_id,而是会传递signed_request,因为如果不知道我的app_secret就无法进行欺骗
  2. 为了防止它被嗅探和重复使用,我会将我的请求封装在SSL(HTTPS)中
  3. 为了防止使用过时的signed_requests,我会确保issued_at是相对较新的。
  4. 这是signed_request的用途,还是有更正确的方式来使用facebook身份验证?

    我的方法有任何明显的问题吗?

    谢谢!

1 个答案:

答案 0 :(得分:0)

这是验证用户身份的明智方法。我认为您已经涵盖了绕过身份验证系统的所有可能方法,因此您不应该遇到问题。

如果您尝试进行API调用,则还应使用FB.getLoginStatus()函数来个性化已登录应用程序的用户的体验。