我正在创建一个REST网络服务器,用户可以在其中注册Android应用。为了绕过填写注册表单的繁琐过程,我支持使用LinkedIn Android库登录的选项。
LinkedIn Android库提供了一个唯一的ID,用于识别用户以及直接从应用程序与API通信的访问令牌。
我目前正在自己的服务器上存储唯一ID,因此我知道应该使用Linkedin注册的用户加载哪些配置文件。
但是,我无法验证访问令牌或ID的有效性。我如何知道传递其ID的用户实际上是真实用户而不是使用其他用户ID的其他人?
这不是LinkedIn的安全风险吗?