Eld*_*ohn 6 security android facebook facebook-android-sdk
我正在为我的Android应用程序使用Facebook身份验证.
我使用Facebook ID [通过HTTP Post to Web API with facebook-id]在我的应用程序中验证用户身份.因此,如果有人了解我的应用中任何用户的facebook-id,他们可以轻松发布到URL,从而可以访问该应用.
有没有推荐的方法来做到这一点?
一旦你进行了登录 POST,Facebook 就会给你一个唯一的 authtoken,但它有时会过期。基于此令牌生成一个临时“session_key”(可以是 md5(facebook_token + user_id)),将此 session_key 存储在您的数据库中并将其发送回您的应用程序。
对于从应用程序到服务器的每个请求,您都必须发送此 session_key 和用户名。在服务器端,您必须检查 session_key 是否在您的数据库中以及是否已分配给“user_id”。
如果一切正常,您可以继续操作,否则返回错误消息。
当用户注销时,删除这个session_key(当他用facebook登录时会重新生成)。
希望这会有所帮助。