我正在创建一个使用Facebook登录的Android应用程序。然后我将所有用户数据存储在我的服务器上的数据库中。我是否应该存储用户访问令牌,还是足够安全,只使用数据库中的用户ID,如果用户有效,只允许应用程序处理?例如。如果我有一个存储列表的数据库,我只希望该用户看到并且我使用FB进行身份验证。是否足够安全,每次访问列表时都不必验证fb访问令牌?
答案 0 :(得分:0)
请注意,这并未考虑用户可能已撤销对您应用的访问权限或用户更改了密码的情况。您需要始终注意无效的access_token并重定向用户以重新授权您的应用。对于无效访问令牌,请执行以下错误:
User revoked access to your app:
{"error":{"type":"OAuthException","message":"Error validating access token: User
1053947411 has not authorized application 157111564357680."}}
OR when password changed:
{"error":{"type":"OAuthException","message":"Error validating access token:
The session is invalid because the user logged out."}}