このシナリオでは、次のようなアプリがあります。
ユーザーは、モバイル デバイス (この場合は iOS) で Facebook シングル サインオン (SSO) を使用してログインします。
返された Facebook 資格情報は、(同じ Facebook アプリ キーを使用して) NodeJS サーバーに送信され、プログラム ベースのアカウントに関連付けられる前に、本当にそのユーザーの Facebook 資格情報であることが検証される必要があります。
問題:
認証の結果として Facebook から返されたすべてにアクセスできる場合、このデータを使用して Facebook での承認を確認するにはどうすればよいでしょうか?
https://graph.facebook.com/me?access_token=TOKENGOESHERE
ユーザーが返され、その ID がクライアントが主張するものである場合、そのユーザーは本人である可能性が最も高くなります。
できることは 2 つあります。
Facebook は通常、基本的な SHA2 ハッシュで確認できる署名済みのリクエストを渡します。ハッシュが正しい場合、ユーザーは実際に facebook を使用して認証されたと見なすことができます。
Facebook は通常、(有効期間が短い)アクセス トークンも渡します。このトークンは、グラフ API を使用して有効期間が長いアクセス トークンと交換できます。この交換が完了すると、ユーザーが本人であると確信できるようになります。