我在我的网站上使用Facebook登录的可能性。只使用javascript facebook api足以保证客户端不能尝试安全中断以便作为其他用户进行身份验证吗?
答案 0 :(得分:0)
当用户点击您的Facebook连接按钮时,他们会根据Facebook的用户表进行身份验证。如果Facebook将它们返回到您的站点,它们将带有访问令牌。在您的服务器上,您应该针对以下URL执行HTTP GET:
"https://graph.facebook.com/me?access_token="+token
如果访问令牌是在最后一次(我认为)20分钟内发出的,那么它将授权您获取包含其名称,电子邮件地址(如果他们授权该信息)等内容的JSON。您不需要要求用户在您的网站上键入他们的电子邮件地址,因为该信息不是来自Facebook服务器的用户。