使用signed_request进行facebook身份验证

Question

我正在尝试构建一个facebook身份验证的Web应用程序，这样就不必构建自己的身份验证了。因此，在Facebook对它们进行身份验证并向我提供了user_id后，我可以将其存储在数据库中。

显然，我想保护我的用户免受纯粹使用他们的user_id欺骗。这就是我想出的：

1. 我不会在浏览器和我的服务器之间来回传递user_id，而是会传递signed_request，因为如果不知道我的app_secret就无法进行欺骗
2. 为了防止它被嗅探和重复使用，我会将我的请求封装在SSL（HTTPS）中
3. 为了防止使用过时的signed_requests，我会确保issued_at是相对较新的。

这是signed_request的用途，还是有更正确的方式来使用facebook身份验证？

我的方法有任何明显的问题吗？

谢谢！

Answer 1

这是验证用户身份的明智方法。我认为您已经涵盖了绕过身份验证系统的所有可能方法，因此您不应该遇到问题。

如果您尝试进行API调用，则还应使用FB.getLoginStatus()函数来个性化已登录应用程序的用户的体验。