私は自分自身を構築する必要がないように、Facebook認証を行うWebアプリケーションを構築しようとしています。したがって、Facebook がそれらを認証し、user_id を提供した後、これをデータベースに保存するだけです。
もちろん、user_id だけを使用して、ユーザーがスプーフィングされるのを防ぎたいと考えています。これが私が思いついたものです:
- ブラウザーとサーバーの間で user_id をやり取りする代わりに、signed_request を渡します。
- これが傍受されて再利用されるのを防ぐために、リクエストを SSL (HTTPS) でカプセル化します。
- 古い signed_requests が使用されるのを防ぐために、issued_at が比較的最近のものであることを確認します。
これは signed_request の目的の一部ですか、それとも Facebook 認証を使用するより正しい方法はありますか?
私のアプローチに明らかな問題はありますか?
ありがとう!