这是我在我的网络应用中实施的策略。 客户端(js app)从facebook获取access_token并使用访问令牌,我获取用户的详细信息,如email,user_id等。我将详细信息保存在我的数据库中。这结束了注册部分。
在登录期间,客户端发送access_token,服务器使用access_token从facebook获取user_details。然后我通过fb_user_id找到用户并为他创建一个会话。
如何确保登录过程中服务器获取的access_token是由我的应用程序发送的,而不是任何其他具有我的某个用户的access_token的应用程序?