我正在为一个网站构建一个Android应用程序,该网站使用FB connect通过FB id将其用户数据与FB用户数据相关联。当我允许用户通过Facebook的Android SDK登录时,我会获得一个访问令牌,我可以代表用户请求数据。我想将访问令牌发送到服务器,然后让服务器请求用户的id创建本地会话并向我发回特定于该网站的用户数据。 Facebook是否允许以这种方式使用访问令牌(从设备进行身份验证,然后使用相同的令牌从服务器请求数据)?另一种方法是使用设备上的SDK获取FB用户ID,然后将其传递给服务器,但我觉得允许仅使用FB用户ID创建会话并不十分安全。这很容易被冒充。
此用例的典型情况是什么(通过Facebook SDK登录以在您自己的网络应用上创建会话,其中用户数据已经链接)?
答案 0 :(得分:5)
是的,FB允许这样做。见下文:
https://developers.facebook.com/docs/facebook-login/access-tokens/#architecture
如上所述,访问令牌是可移植的。这意味着一旦你 获取令牌,你通常可以从任何机器 - 服务器, 客户或其他。