Javascript Facebook登录 - 什么是最安全的登录方式?
我正在尝试创建一个使用JavaScript的Facebook登录,用于将从服务器返回一些数据的Chrome扩展。Javascript Facebook登录 - 什么是最安全的登录方式?
我目前能够登录谷歌和脸书没有问题。 Google正在返回仅适用于我的应用的电子邮件地址和唯一ID,以便我可以使用该ID与提供的电子邮件地址一起登录到我的服务器。
Facebook会返回真实的用户ID和电子邮件地址,这意味着任何有权访问Facebook的人都可以找到该ID并知道他们将能够登录的电子邮件地址。
因为我不想要求用户每次登录,他们重新启动浏览器或每隔几天时间,什么是获得来自Facebook的唯一不变的安全ID是唯一我的应用程序的最佳方式?
当然,如果我在扩展中使它具有唯一性,它不会真的有益,因为任何人都可以阅读扩展代码,然后弄清楚如何从他们的用户ID获取其他人的唯一ID。
Facebook发送的授权码不是恒定的,所以我无法将其发送到服务器来验证某人。
“Facebook返回真实用户ID” - 错误,api只返回应用范围ID。除了用户自己将无法登录。只需使用应用范围ID,即如何识别应用中的用户。顺便说一下,用户ID并不是真正需要保密的东西。访问令牌是。
我发誓我读了它是返回真实的ID ...然后我很好:-)(是的,auth代码是秘密的,以及用户ID和电子邮件......)谢谢你 – Fabrizio
将令牌发送到服务器,然后进行API调用以验证它是否为真。你不想只传递用户ID - 因为任何人都可以将它发送到你的应用程序。 (并找到一个用户ID“适用于你的应用程序”只是一个猜测问题。) – CBroe