FB.Event.subscribe('auth.authResponseChange', function(response) {
if (response.status === 'connected') {
FB.api('/me', function(response) {
switchTo('loggedin');
// connected & ok
});
}
else if (response.status === 'not_authorized') {
switchTo('loggedout');
// connected but not ok
FB.login();
}
else
{
switchTo('loggedout');
// not connected
FB.login();
}
});
所以这是一个ordenary facebook javascript登录功能。
如果用户已连接&已验证我通过fb.api('/me')向包含给定ID的服务器发送ajax请求。但是任何人都可以改变代码,并以他们可以使用别人ID的方式编辑代码并将其发送到服务器。
如何验证通过javascript登录的用户是否是实际用户,而不仅仅是更改代码的用户?
答案 0 :(得分:1)
一种非常安全的方法是使用PHP SDK:https://github.com/facebook/facebook-php-sdk
看看“用法”:
require 'facebook-php-sdk/src/facebook.php';
$facebook = new Facebook(array(
'appId' => 'YOUR_APP_ID',
'secret' => 'YOUR_APP_SECRET',
));
// Get User ID
$user = $facebook->getUser();
if ($user) {
//user is logged in
} else {
//user is not logged in
}
例如,您可以在使用JS SDK登录后重新加载页面,并在加载页面之前使用PHP SDK进行检查。
答案 1 :(得分:0)
好的,因为您使用 PHP 作为后端语言
我建议除了发送用户ID之外,您还可以发送带有一些特殊盐的id哈希,这些盐只是在您的PHP代码中没有显示在您的java脚本中
例如
var url = "www.example.com/?id=SOME_ID&secret=<?php echo md5(SOME_ID.SECRET)";
并在后端
$secret = $_GET['secret'];
$id = $_GET['id'];
if (md5($id.SECRET) == $secret){
//User is ok here
}else{
//Some one missing around
}
此代码用于显示想法而非使用
的完整代码