我正在学习如何实施Facebook Fulfillment流程.我无法理解使用request_id(步骤1和2).我的想法是我的服务器生成request_id,稍后当应用程序从Facebook获得编码响应时,将该响应中的详细信息与我服务器上存储的详细信息进行比较(使用request_id作为密钥).
验证的目的是什么?
它说:
验证订单的最安全方法是使用JavaScript回调中的signed_request参数,因为它已使用App Secret进行编码,并且无法由客户端操纵.
那么,如果我们相信这些数据并且无法操纵,为什么我们需要进行额外的检查呢?另一方面,如果它可以被操纵,那么这个措施如何防止简单地将相同的请求传递给我的服务器并使用返回request_id作为创建操作的一部分signed_request.