FacebookConnectを使用するWebサイトがあります。
作成中のiPhoneアプリに関してセキュリティ関連の質問があります。
Webサイトでは、データベースにUSERSテーブルを保持しています。
特にUSERSテーブルには、次のフィールドがあります。
ID (int) an internal auto-generated id
FBID (int) the facebook user id
GUID (varchar 40) a random long guid for API uses
ユーザーが私のWebサイトにログインすると、Facebookで私のWebサイトを承認した後、login.phpページにリダイレクトされ、そこでFBIDを取得し、新しいユーザーを作成するか、既存のユーザーを見つけることで簡単にログインできます。GUIDをセッションに保持します。
私のウェブサイト用のiphoneアプリを構築するために、iOSfacebookSDKをダウンロードしました。
どうやら、ウェブサイトのシナリオと同じように、承認プロセスの最後に、ユーザーのFBIDを取得します。問題は、FBIDを私のWebサイトに送信することは、私が見ているように安全ではないということです。FBIDを取得してユーザーをログインさせるAPIを開くと、誰でも友人のFBIDを送信して、自分の名前で私のWebサイトにログインできます。これは正しいです?もしそうなら-私は何をすべきですか?
乾杯、