設定
1. A LAMP web application that uses SOLELYFacebook for authent./author
(i.e. NO credentials set/asked by the web app)
2. A smartphone app that uses ONLY Facebook for authent./author.
3. A web service provided by -1- for -2- to communicate. https, of course.
4. A client-side Javascript that uses the same web service (-3-) for asynchronous CRUD
使用事例:
A. The user signs in to - 1 - and Facebook id is saved on
server-side as well as a custom id.
B. The user signs in to - 2 - and the same happens on client-side.
C. The user enters data into - 2- which is stored locally.
D. Now comes the tricky part: 2 must send the data to 1 via 3.
E. Now even trickier: 4 must do the same.
私の問題:
私の問題は、D & E で通信を認証および承認するための戦略を見つけることです。ユーザーが資格情報を入力すれば簡単です。これらはローカルに保存され、彼が引き金になりました。そして彼だけ!ただし、認証/作成者に Facebook のみを使用する場合は、authent. クライアント側では決して発生しません。したがって、私が理解している限り、サーバーは何らかの正当化を提供する必要があります。これは、たとえば、キーまたはトークンです。
私の質問: クライアント アプリ -3- は、最初にサーバーに対してユーザーを認証することになっています (facebook id?)? 誰かが Facebook ID をサーバー サービスに送信して CRUD にアクセスできないようにするにはどうすればよいですか? ある種のアプリケーション キー (Facebook のアクセス トークンなど) で十分ですか?
もしそうなら、 -4- ブラウザの Javascript はどうですか? アプリケーションキーをどこに保存しますか? そのトークンを盗み、それを -1- への認証に使用し、特定の facebook ユーザーのすべてのデータにアクセスするのは簡単ではないでしょうか?