我正在努力解决有关在我的网站上添加“登录facebook”支持的一些问题。
说新用户访问我的网站,他们想要注册。他们点击加入,然后“登录Facebook”,他们授权我的应用程序。我得到了一个带有FB Id和auth令牌的回调。然后我可以在我的系统中为他们创建一个帐户,让他们继续使用我的网站。
据推测,我仍然应该设置自己的身份验证cookie并使用它们来确定用户是否已登录?据推测,我只需要一个新的FB身份验证令牌来与FB API进行交互,所以如果我不需要这样做,我可以忽略任何身份验证令牌(虽然实际上我会存储它)。
我知道这听起来简单明了,但我只是想检查一下。 FB文档在最佳实践上相当稀疏。
答案 0 :(得分:1)
您无需设置自己的身份验证Cookie并使用它们来确定用户是否已登录。
如果您想确定用户当前是否已登录,您可以随时使用FB.getLoginStatus()或$facebook->getUser()进行检查。
要与Facebook API进行互动,您可以使用用户登录/授权应用时可以返回的用户访问令牌。它的有效期长达2小时。如果您需要,可以延长有效期最多60天并存储。有关详细信息,请参阅here。
您还可以使用 app access tokens (永不过期)代表已向您的应用授予发布权限的人向Facebook发布内容。
答案 1 :(得分:0)
如果你的目的只是使用FB作为你的身份验证机制,那么我说你是对的 - 没有必要保留FB身份验证令牌。只需使用自己的cookie,并设置自己的超时协议。