所以我在我的Android应用程序中使用 facebook 登录facebook lite,我有一个应用服务器,我发送用户脸谱ID 和访问令牌< / strong>从Facebook发送,然后我的应用服务器将验证Facebook上的凭据并授予用户访问权限。
显而易见的问题是,任何其他应用或开发者都可以使用facebook_ids和访问令牌来访问我的应用服务器并进行身份验证,因此我认为我会发送 client_id和client_secret (OAuth2实施)以及facebook_id和访问令牌到我的应用服务器,因为客户端密码和客户端ID对我的应用服务器是唯一的,并且在我的应用客户端和服务器之间共享。
只想了解这方面的想法,以及最佳的行动方案。