相关疑难解决方法(0)

目标: 允许用户使用Facebook进行身份验证,进入需要访问我正在运行的受保护Web服务的iOS应用程序.

假设: 对于那些选择不使用Facebook登录的用户,有一个原生身份验证(和注册)系统.

细节:

• 假设我们希望为用户提供登录Facebook的选项,而无需为我们的系统创建单独的帐户/凭证.
• 因为我们支持我们自己的本机身份验证机制(用户名和密码),所以我们拥有自己的用户ID,并在初始凭据验证后发出用于后续交互的身份验证令牌.

我很惊讶Facebook在他们的开发者文档中没有这方面的最佳实践.所有现有文档要么假设您正在构建一个网站的FB auth,要么是一个没有需要身份验证的服务的独立移动应用程序.

这是我对如何设计这个问题的初步想法,但是想要验证它是否正确.

1. 客户端弹出Facebook iOS登录
2. UI用户使用Facebook凭据登录并获取访问令牌
3. iOS App将访问令牌传递给我们的服务器

4. 我们的服务器使用访问令牌与FB图形API进行通信,以(a)验证令牌和(b)获取该访问令牌的FB用户ID.

   例如,我们的服务器将调用https://graph.facebook.com/me/?access_token=XYZ,它将返回JSON对象中的配置文件信息

5. 假设它有效,我们的服务器从JSON对象中提取用户ID并检查用户是否已经拥有一个帐户.如果是这样,我们会向客户端发出我们自己的身份验证票据以用于该会话.如果用户没有帐户,我们使用Facebook用户ID创建一个新帐户,分配我们自己的唯一用户ID并发出我们的身份验证票.

6. 然后,客户端在后续需要身份验证的交互上传回auth票证.

这对我来说似乎是正确的方法,但不确定我是否遗漏了一些疯狂的基本内容并走错了(复杂的)路径.

我正在开发基于与服务器通信的iPhone应用程序,我想使用Facebook身份验证机制.

基本上,我认为它应该像这样工作:

1. 在我的iPhone应用程序中,用户使用他的电子邮件和密码登录Facebook.
2. 用户可以访问相关Facebook应用程序的数据.
3. 成功登录后,我的iPhone应用程序会收到访问令牌.
4. 在与我的服务器进一步通信时,我的iPhone应用程序应该使用收到的Facebook访问令牌(例如:在查询中).
5. 当我的服务器从iPhone应用程序收到一些带有访问令牌的查询时,它应该询问Facebook这个令牌是否有效(以及对谁),如果是,服务器应该假定用户通过Facebook验证.

我的问题是:如果给定的访问令牌有效,服务器应该如何询问Facebook？我想我应该以某种方式检查令牌是否对我的Facebook应用程序有效.

我已经尝试了很多Facebook查询到图形API,我发现,但没有任何工作像我预期的那样.你能举个例子吗？

服务器必须做的事情; 只需检查任何访问令牌的有效性.

客户端向FB服务器发送FB.getLoginStatus获取的用户ID和访问令牌.

正如我所料,会有任何url检查访问令牌的有效性,例如

http://xxx.facebook.com/access_token?=xxxxxxxxxxxxxxxxxxxxxxxxxxxx

返回它是否可用.

或者是否有任何API(服务器端)？

我需要验证我的iPhone应用程序上的用户是否实际登录到我的Facebook应用程序.我可以通过访问令牌检索它来验证用户ID:

https://graph.facebook.com/me?fields=id&access_token=XXXXXXXXXXXXXXX

我预见的安全问题是,他们可以向我发送任何有效的访问令牌,它将返回他们的用户ID.我还需要验证此令牌是否适用于我的特定应用.有没有办法在此请求中返回应用程序ID以验证？