JSON Webサービスを使用するAndroidアプリを作成していますが、認証にFacebookを使用したいと思います。
よくわからないのは、Webサービスを保護する方法です。
Facebookログインから返された認証トークンをWebサービスのパスワードとして使用する必要がありますか?
トークンがどこに保存されているのか、どのように取得するのかわかりませんか?また、有効期限が切れたときに新しいトークンでWebサービスを更新するにはどうすればよいですか?
私はAPIキーを使用することを検討していますが、それは、誰かがapkを逆コンパイルしてAPIキーを取得した場合、Webサービスを悪用する可能性があることを意味します。
どんな提案でも大歓迎です。
私はPhoneGapを使用しているので、Cookieを使用するオプションがあると思いますが、正確な方法はわかりません。
StackOverflowでここで議論されている2つのアプローチがあります
1>ログイン/アカウント作成にFacebookConnectを使用する場合、自分のサイトのAPIで認証するにはどうすればよいですか?
それらがあなたのために働くかどうか見てください。
Facebookログインから返された認証トークンをWebサービスのパスワードとして使用する必要がありますか?
ログイン認証を処理するには、サポートされているSDKのいずれかを使用することをお勧めします。開発者は、パスワードやトークンなどの保存について心配する必要はありません。fb loginを使用することで、これらすべてを処理します。Facebookをログインとして使用する方法について詳しくは、こちらをご覧になることをお勧めします。
トークンがどこに保存されているのか、どのように取得するのかわかりませんか?また、有効期限が切れたときに新しいトークンでWebサービスを更新するにはどうすればよいですか?
このドキュメントを読んで、有効期限が切れたときにアクセストークンを取得して更新する方法を確認することをお勧めします。