Kev*_*n B 13 authentication android facebook
我正在创建一个使用Facebook SSO登录的Android应用程序,我不确定在登录FB后如何使用我自己的Web服务进行身份验证.当用户首次打开我的应用程序时,他们会登录Facebook,授权我的应用程序一些权限,然后继续进入我的应用程序.这部分很有用,但现在要使用我的应用程序,他们需要在我的服务器上创建一个帐户并与我的webservices交谈.
现在,我有我的服务器上的身份验证Web服务调用,增加了他们的Facebook号码等最基本的信息到数据库中,并在同一时间做了Diffie-Hellman密钥交换,以WebServices的任何未来的呼叫可以通过一个共享的密钥进行加密.但问题是,第一次初次调用创建此帐户并创建此共享密钥,我该如何进行身份验证呢?我怎么知道这个人真的是那个刚刚通过Facebook认证的人,而不仅仅是那些为我的网络服务找到URL并创建帐户并保存密钥的人?
Facebook SSO返回访问令牌.如果您愿意,可以将其传递到您的服务器,您的服务器可以调用Facebook API来检查它是否是该用户的有效访问令牌(例如,通过调用 https://graph.facebook.com/ me?access_token = ACCESS_TOKEN) - 如果是,你很好,并且已经验证用户是他们所说的人(或者是一个有足够访问权限的黑客,为你的Facebook应用程序提供有效的身份验证令牌,表明他们的身份已经在Facebook的最终受到损害).