我通过api从php接收用户的facebook信息: https://github.com/facebook/facebook-php-sdk
仅仅将facebook的用户ID保存在php中给出的数据库中是否足够安全,还是应该从令牌或任何类型的密码中检查此用户身份?
知道我可以在javascript中获取所有用户的信息,任何人都可以设置它
仅仅因为facebook中的facebook数据返回而登录我的Facebook用户是否足够安全。
答案 0 :(得分:0)
我对你的问题有点困惑,因为你正在使用facebook的php sdk所以从facebook收到的所有用户数据都在服务器上,而不是在浏览器中,所以入侵者怎么可能更新来自JS?我想你在那里有点不对劲。
在类似情况下,我在php中读取数据,获取所有必要的详细信息,并将其与facebook令牌(主要是电子邮件ID)一起存储在我的用户表中。我没有在我的应用程序中找到很多使用令牌,但仅仅是为了它,我用它来存储它我验证了用户的会话。对于再次登录的同一用户,我只需检查用户表中的ID并设置会话。