我的流程足以保护REST API吗?

时间:2018-08-23 20:07:56

标签: facebook rest api backend

我是Web开发的新手。我想为我的游戏编写一个后端,并想通过Facebook进行身份验证。我不确定我的想法是否正确和足够安全。当然,https是必须的。

  1. 每次启动应用程序时,用户都会发送带有fb用户ID和令牌的/ init请求。
  2. 服务器通过向fb api请求来检查此用户ID和令牌是否有效。
  3. 如果一切正确,服务器将检查数据库中的用户。
  4. 如果用户不存在,则使用应用程序密码,fb令牌,fb id和当前日期/时间将其保存到数据库并发送给客户端。 或者如果存在具有此fb id的用户,则将先前存储在数据库中的令牌发送给用户。
  5. 客户端正在使用此令牌与api通信。

如果这种方法是正确的,我几乎没有疑问。 每次用户启动应用程序时发送用户ID和令牌是否安全? 我想每次用户使用/ init请求时都将fb用户令牌和ID与fb一起使用,因为fb访问令牌的生存时间不超过60天。这是正确的方法吗? 现在,如果用户拥有他的令牌即可访问我的API。每次他发出请求时,我都应该通过调用数据库来实现吗?这不是很慢/很贵吗?

0 个答案:

没有答案
相关问题
最新问题