我正在尝试构建一个facebook身份验证的Web应用程序,这样就不必构建自己的身份验证了。因此,在Facebook对它们进行身份验证并向我提供了user_id后,我可以将其存储在数据库中。
显然,我想保护我的用户免受纯粹使用他们的user_id欺骗。这就是我想出的:
这是signed_request的用途,还是有更正确的方式来使用facebook身份验证?
我的方法有任何明显的问题吗?
谢谢!
答案 0 :(得分:0)
这是验证用户身份的明智方法。我认为您已经涵盖了绕过身份验证系统的所有可能方法,因此您不应该遇到问题。
如果您尝试进行API调用,则还应使用FB.getLoginStatus()
函数来个性化已登录应用程序的用户的体验。