我想在我的网络服务上识别一个Android原生app用户。我不想在我的java中包含一个秘密,因为这很容易找到。使用网站上的javascript sdk,令牌已签名,我可以使用服务器上的共享密钥对其进行验证,但android sdk只获取令牌。
我曾希望我可以将令牌和签名传递给我的Web服务,然后我可以验证用户正在执行的操作是否已获得授权。有没有办法获得已经从Facebook授予的访问令牌(和共享秘密)的签名?
答案 0 :(得分:0)
我最终只是将auth令牌传递给我的Web服务,让服务器验证它是有效的(通过获取graph.facebook.com/me),然后创建我自己发送回的签名令牌。我从那时开始基于那个令牌进行授权......有点跛脚。