如何确保用户真正登录facebook？

Question

我有一个PHP Web应用程序，我正在尝试实现Facebook登录。我设计了这样的过程：

1. 用户单击“FB登录”按钮。
2. 向facebook发送请求以启动登录过程（AJAX）。
3. 调用我的代码中的Javascript回调函数来通知用户已完成登录。
4. 我的js代码调用Facebook API来获取用户详细信息（如姓名和电子邮件）。
5. 我的JS代码将获取的数据发送到我的服务器代码（PHP），它将用户电子邮件存储在Session中以保持用户的身份验证。

我担心在第5步中有人伪造请求并将用户电子邮件和名称发送给PHP应用程序很容易。

所以我的问题是：PHP服务器代码如何确保facebook登录，并且发送的电子邮件与用于登录的电子邮件相同？

Answer 1

会话变量存储在PHP服务器上，在用户设备上只存储一个包含会话ID的cookie，因此PHP服务器知道用户属于哪个会话。 伪造会话ID并不容易，因为它是随机生成的，并且很难强制它。

注意：如果有什么（我写的）是错的，请在评论中纠正我

来源：http://www.w3schools.com/php/php_sessions.asp

编辑： PHP服务器应该获取他想要的数据以及用户成功登录的确认（如果用户实际执行了此操作）