Web应用程序支持使用JavaScript SDK通过Facebook登录。
Facebook身份验证发生在客户端。成功后,将调用FB.getLoginStatus(),并将身份验证令牌和用户ID发送到服务器。
Web应用程序将Facebook用户ID存储在其数据库中。
服务器如何知道用户已成功登录并且身份验证令牌和用户ID尚未伪造客户端?有没有办法在没有向Facebook的服务器发送请求的情况下执行此验证服务器端?
答案 0 :(得分:1)
根据我上面的评论,您可以通过将authResponse.signedRequest参数转发到服务器并在服务器上解码/检查它,而无需向Facebook的服务器发送服务器端请求。