我正在使用 Ionic 3 和 Angular 4 开发应用,并且还实施使用Facebook登录按钮(和逻辑)。 我不明白如何确保这个过程。 API返回用户的email + id,然后我需要将它们发送到我的服务器以注册/登录用户。 但是我怎么能确定没有人用那些用户邮件和电子邮件“伪造”ajax电话。 ID?并跳过整个Facebook按钮流程? 我根本没有得到它 - 无论API返回什么 - 我需要通过AJAX将它发送到服务器,任何人都可以伪造这个过程并使用AJAX发送特定参数。
答案 0 :(得分:2)
一种好方法是将访问令牌发送到服务器并在那里对Facebook API进行API调用。你可以/应该激活"要求应用秘密"在应用程序设置中:
仅允许来自服务器的呼叫并要求app secret或app secret 所有API调用的证据。