我正在创建一个使用Facebook SSO登录的Android应用程序,我不确定在登录FB后如何使用我自己的Web服务进行身份验证.当用户首次打开我的应用程序时,他们会登录Facebook,授权我的应用程序一些权限,然后继续进入我的应用程序.这部分很有用,但现在要使用我的应用程序,他们需要在我的服务器上创建一个帐户并与我的webservices交谈.
现在,我有我的服务器上的身份验证Web服务调用,增加了他们的Facebook号码等最基本的信息到数据库中,并在同一时间做了Diffie-Hellman密钥交换,以WebServices的任何未来的呼叫可以通过一个共享的密钥进行加密.但问题是,第一次初次调用创建此帐户并创建此共享密钥,我该如何进行身份验证呢?我怎么知道这个人真的是那个刚刚通过Facebook认证的人,而不仅仅是那些为我的网络服务找到URL并创建帐户并保存密钥的人?