ユーザーがFacebookでログインしてWebアプリケーションを使用した後、Facebook APIからユーザーの情報を取得するWebアプリケーションを作成しています。
ユーザーがアプリケーションにログインしたときに、ユーザーから offline_access access_token の取得に成功する PHP コードがあります。
ただし、そのトークンをどうするかはわかりません。新しいユーザーに関する他の情報をデータベースに挿入するときに、データベースに挿入して、ユーザーがオフラインのときにアクセスできるようにしますか? もしそうなら、パスワードと同じセキュリティで扱うべきですか?
ヘルプ/提案は大歓迎です。
はい、トークンをデータベースに保存します。いいえ、これに関するセキュリティはあまり良くありません。パスワードのように扱うことはできません。パスワードをソルトしてハッシュしますが、元のアクセス トークンの値を保持する必要があります。これは OAuth の基本であり、アプリ プロバイダー (あなた) を「王国への鍵」で信頼しています。
Facebook SDK に応じて、ユーザー セッション (sdk2.x) を保存するか、アクセス トークンのみ (sdk3.x) を保存する必要があります。保存するのに最適な場所はデータベースです。通常、ユーザーの作成時にトークンを保存し、ユーザーのログイン時に保存されたトークンを更新します (トークンにはまだ有効期限があるため)。
次に、トークン (またはセッション) を使用する必要がある場合は、いずれかを使用する必要があります。
setAccessToken($stored_token)
また
setSession($stored_session)
これが役に立ったことを願っています。
それは、ユーザーが自分で投稿せずにウォールに投稿する必要がある場合のみです。その機能が必要かどうかはあなた次第です。