我们有一个网站,它使用社交网络登录。现在我们正在构建一个移动应用程序。问题是 - 我们如何在服务器端执行安全登录?
现在已登录移动应用程序。我们在手机上收到uuid和auth_token,现在我们需要在服务器上执行用户身份验证。我们不能只使用uuid,因为它不安全,我们无法使用auth_token,因为它会随着时间而变化。
谷歌搜索只会让我看到"打开webview并执行登录" - 我认为这是一个糟糕的设计,因为用户无法使用系统帐户,并且应该输入已经登录的网络的凭据。
我真的很困惑。你建议我做什么?
答案 0 :(得分:2)
所以,我自己找到解决方案。
要执行此操作,请按照以下3个步骤执行操作:
1)将auth_token和uid从移动应用程序发送到Web服务器 2)向社交网络执行请求,询问具有该auth_token的用户的uid(例如,它将是/ user / me请求facebook) 3)检查,从网络返回的uid等于从移动设备发送的uid。
第三步是可选的 - 前两个步骤足以检查,具有此令牌的用户确实存在。
当您实施它时,请确保使用https将请求从移动设备发送到服务器 - 因为在这种情况下它将是安全的,您不会被社交网络禁止;)