1

私は自分自身を構築する必要がないように、Facebook認証を行うWebアプリケーションを構築しようとしています。したがって、Facebook がそれらを認証し、user_id を提供した後、これをデータベースに保存するだけです。

もちろん、user_id だけを使用して、ユーザーがスプーフィングされるのを防ぎたいと考えています。これが私が思いついたものです:

  1. ブラウザーとサーバーの間で user_id をやり取りする代わりに、signed_request を渡します。
  2. これが傍受されて再利用されるのを防ぐために、リクエストを SSL (HTTPS) でカプセル化します。
  3. 古い signed_requests が使用されるのを防ぐために、issued_at が比較的最近のものであることを確認します。

これは signed_request の目的の一部ですか、それとも Facebook 認証を使用するより正しい方法はありますか?

私のアプローチに明らかな問題はありますか?

ありがとう!

4

1 に答える 1

0

これは、ユーザーを認証するための賢明な方法です。認証システムをバイパスするための可能なすべての方法をカバーしたので、問題はないはずです。

API呼び出しを行おうとしている場合は、このFB.getLoginStatus()関数を使用して、アプリケーションに既にログインしているユーザーのエクスペリエンスをパーソナライズする必要もあります。

于 2012-05-31T08:23:35.680 に答える