我在React Native应用上使用Expo Facebook登录。在我的应用程序中,他们可以创建和加入事件,这是通过对我的Laravel后端的API调用完成的。我需要对这些API调用进行身份验证(因此一些随机的人无法代表其他人提交请求),但我不希望他们必须登录两次。如何确保发出API调用的人是他们所说的人?
当他们使用Facebook授权时,他们会获得他们唯一的Facebook用户ID,但我不确定这是否是他们只有在使用FB进行身份验证后才知道的秘密,或者是否有人可以获得它。对于我的alpha版本,它只是发送他们的FB用户ID以确保它来自合适的人,但这似乎真的不安全,因为如果有人获得该ID他们可以伪造请求。
我的一个想法是将React Native应用程序从Facebook获取的身份验证令牌传递给我的API,然后在我的服务器上使用该身份验证令牌来确保它们确实存在。这看起来有点复杂,但很难找到有助于实现这一目标的软件包。
这似乎是一个常见的问题。有关其他应用如何处理此问题的任何资源例如,Tinder必须遇到同样的问题。