我正在开发一个webapp + android应用程序,它有自己的注册流程 - 使用电子邮件和密码进行简单的身份验证。
我按照this page中的第二个方案轻松整合了网站上的facebook登录信息。
现在,我需要一键式通过facebook验证Android应用程序。重点是,在Android应用程序通过身份验证后,我需要从我的服务器发送用户想要执行某些操作时权限检查所需的一些特定cookie。
问题是我无法通过facebook令牌进行身份验证:从我所看到的,即使它是从另一个应用程序中获取的,令牌也会起作用,因此我无法发送仅信任fb令牌的私有数据(即使它是由SSL发送的,因为它可能是另一个假装它是用户的应用程序。
有没有类似于上面的注册流程来验证Android应用程序?
或者有什么建议可以解决这个问题吗?
答案 0 :(得分:2)
好的,facebook通过弃用offline_token并从客户端提供更长的访问令牌来解决这个问题。可以使用此新端点针对我的应用程序ID和应用程序密钥验证此令牌服务器端:
https://graph.facebook.com/oauth/access_token?
client_id=APP_ID&
client_secret=APP_SECRET&
grant_type=fb_exchange_token&
fb_exchange_token=EXISTING_ACCESS_TOKEN
所以我可以确定用户身份。