次のユースケースがあります
- iOS上の私のアプリケーションは、FaceBookiOSSDKを使用してFBで認証しています
- 次に、アプリケーションはhttpsを介してサーバーにREST呼び出しを行い、FBアカウントをサービスアカウント(私が提供しているサービス)に登録します。
ステップ2で、クライアントはFaceBookUIDを送信しています。
私の問題は、サーバーにFBが統合されていないため、正しいFaceBookUIDを送信しているクライアントに応答する必要があることです。
したがって、問題は明らかです。ハッカーは他の誰かのFaceBookアカウントを自分のサービスアカウントに添付することができます。
サーバー(Java)が、リクエストを送信しているユーザーが問題のFacebookUIDを所有していることを検証できるようにしたいと思います。
私はオンラインで検索してきましたが、うまくいくと思うものは何も見つかりません。
signedRequest
FBフィールドの使用に関する漠然とした投稿に出くわしました。これをサーバーに渡して、ユーザーを検証することができます。
任意のアイデアをいただければ幸いです。