JS API のFB.login
メソッドは、ユーザー ID を含むユーザー情報の辞書を含む応答を返します。それはJS APIのクライアント側に存在します。
これが facebok キャンバス アプリを実行しているサーバーに送り返される場合、サーバーはユーザー ID が改ざんされていないことを信頼する必要があります。応答で返される署名付きチェックサムがないため、これを保証する方法がわかりません。
POST 署名付きリクエストからユーザー ID を取得し、それをセッションに保存する方法はわかりますが、それは正しくないようです。それよりもバロックではない、これを安全に行うための方法があると確信しています。
アイデア?