如何正确替换服务器端的用户名/密码身份验证,而是使用OAuth令牌(通过Facebook登录名)对用户进行身份验证?我是OAuth的新手,通常使用基于密码的系统,因此请务必提供帮助。
计划是这样的: 1)用户进入我的网站并单击“使用Facebook登录”,登录 2)然后,我的站点将从FB获取OAuth令牌+用户电子邮件,并将其发送到我的服务器,该服务器将创建一个帐户(用户名=用户的FB电子邮件,密码= OAuth令牌),并且该电子邮件/令牌也将保存到用户的localStorage 3)当用户返回站点时,它将尝试使用保存的localStorage电子邮件(用户名)和令牌(密码)登录到我的服务器。
如何在登录后从FB服务器端验证令牌是否有效(以证明用户控制该电子邮件)?另外,将第一个获得的令牌用作密码是个好主意,还是可以在以后的登录中(例如从另一个浏览器)更改令牌?如果更改,我将需要在每次登录时验证令牌,对吗?
谢谢您的建议,STAN