我正在尝试使用javascript为facebook创建一个登录名,以便从服务器返回一些数据。
我目前无需登录google和facebook即可登录。 Google正在返回电子邮件地址和仅适用于我的应用的唯一ID,以便我可以使用该ID与提供的电子邮件地址一起登录我的服务器。
Facebook返回真实用户ID和电子邮件地址,这意味着有权访问Facebook的任何人都可以找到该ID,如果他们知道可以登录的电子邮件地址。
由于我不想要求用户每次重新启动浏览器或每隔几天就登录一次,从Facebook获取一个独特的常量安全ID的最佳方式是什么?我的应用程序是唯一的?
当然,如果我在扩展程序中使其独一无二,那么它就不会有用,因为任何人都可以阅读扩展程序代码,然后弄清楚如何从用户ID中获取其他人的唯一ID。
Facebook发送的授权代码不是常量,因此我无法将其发送到服务器以验证某人。
答案 0 :(得分:1)
“Facebook返回真实用户ID” - 错误,api只返回App Scoped ID。除了用户自己之外,没有人能够登录。只需使用App Scoped ID即可识别应用中的用户。顺便说一句,用户ID并不是你需要保密的东西。访问令牌是。