我正在开发的网络服务通过将Facebook访问令牌传递到后端的API将用户的帐户连接到他们的Facebook帐户。有没有办法确保收到的访问令牌属于我的应用程序?
显然,如果我尝试使用来自不同应用程序的访问令牌来发布操作,则稍后会出现错误,但是在将不正确的访问令牌与用户的帐户相关联之前,我宁愿抓住此错误案例。
答案 0 :(得分:2)
最简单的方法是在获取访问令牌时向Facebook发出经过身份验证的请求。尝试并获取他们的用户信息,可能只是他们的Facebook ID,并验证用户发送给您的访问令牌/ Facebook ID实际上是否正确。您可以向网址发出请求:
https://graph.facebook.com/me?fields=id&access_token= ...
只获取他们的ID。我将这个检查添加到注册过程中,因为让这对检查正确非常重要。
已编辑:要验证访问令牌所属的应用,请向
发出请求https://graph.facebook.com/app?fields=id&access_token=
它会给你令牌的app id。