Facebook認証をASP.NETMVCアプリケーションに統合する方法を学習しているときに、セッション状態を使用してFacebookJSSDKを介して取得したaccess_tokenを格納するコードを作成しました。java-scriptコードにアクセストークンが含まれるとすぐに、セッションディクショナリに保存する特別なコントローラーアクションに投稿されます。
セッションの使用を避けたいが、ユーザー情報を取得するためにアクセストークンを使用できるようにしておきたい。非永続的なCookieに保存するだけで安全ですか?効果は同じですか?
公式のPHPSDKがアクセストークンをセッションに保存するか、signed_requestCookieに保存されることに興味があるかもしれません。ただし、はアプリシークレットsigned_requestを使用して暗号化されます。これは、暗号化されていないアクセストークンを保存するよりもはるかに安全です。
https://github.com/facebook/facebook-php-sdk/tree/master/src
また、Cookieとセッションのセキュリティに関するスタックオーバーフローに関する以前の説明は次のとおり です。ログインシステムでCookieまたはセッションを使用してログインしますか?
必要に応じて、独自の暗号化された署名付きリクエストを作成できますが、クライアントからは絶対に作成しないでください(クライアントにシークレットを保存する必要があるため)。詳細については、PHP SDKおよび/またはリンクを参照してください: https ://developers.facebook.com/docs/authentication/signed_request/