Facebook登录架构

Question

我正在开发一个使用Facebook进行身份验证的应用程序。到目前为止，我所拥有的是：

1. 客户端 - ＆gt; FB：身份验证数据（fb用户和密码），
2. FB-＆gt;客户端：FB id，FB令牌......
3. 客户端 - ＆gt; AppServer：FB数据（id，token，..）
4. AppServer-＆gt;客户端：好/不好，无论需要什么数据。

其中：

• 客户端：安装在用户设备中的应用程序（在本例中为iOS），
• FB：FB服务器（客户端通过FB＆SDK讨论它），
• AppServer：我的应用程序服务器。

所有这些的要点是验证用户是否真实。问题是在＃3中，客户端可能会向AppServer发送一个随机FB ID或FB令牌，所以问题是：无论如何要检查AppServer中的 这个FB数据是否真的是真的？

Answer 1

这对我有用：

鉴于来自客户的FB_CLIENT_TOKEN和FB_CLIENT_ID，并且知道您的FB_APP_ID和FB_APP_SECRET，我们希望验证服务器中的 如果来自客户的fb帐户是真实的。然后：

• 从服务器访问https://graph.facebook.com/oauth/access_token?client_id=FB_APP_ID&client_secret=FB_APP_SECRET&grant_type=client_credentials
• 这将返回包含access_token=APP_TOKEN。
的纯文本
• 接下来，访问https://graph.facebook.com/debug_token?input_token=FB_CLIENT_TOKEN&access_token=APP_TOKEN
• 这将返回一个名为user_id的字段的JSON，因此最后一步是检查此字段是否等于FB_CLIENT_ID。