ここで、stackoverflow に関するいくつかの質問を既に見ました。
- JavaScriptを介してFacebookユーザーを安全に認証するにはどうすればよいですか?
- ユーザーデータへのサーバー側アクセスを備えた Facebook ログインプラグイン
- Facebook の Javascript SDK を介してユーザーを安全に認証する方法
特に最後のは参考になりそうです。
したがって、私が呼び出しFB.getLoginStatus()て、signed_request と issue_at が返された場合、これら 2 つのパラメーターをサーバーに渡し、それを解析し、渡されたパラメーターが正しいかどうかを確認するために、サーバー側で Facebook API を呼び出して確認するだけで済みます。
私が作成しようとしているアプリケーションは、これらのものをサーバーに送信するために Cookie を使用できません。代わりに、websockets(secure) 経由でサーバーに送信する必要があります。したがって、送信は基本的にTLSを介して保護されますが、signed_requestとissued_atを確認するだけで十分かどうかはわかりません。