FB.getLoginStatus
返回access token
和signed request
。我已将它们传递到服务器端,我已经解密signed request
,获得code
并使用后者 - 请求Facebook access token
。
访问令牌及其到期时间都相同。
为什么我需要它们?我应该通过比较这两个来以某种方式使用它作为安全功能吗?
答案 0 :(得分:1)
它们是多余的,只有两个相同数据的视图。比较两者是没有意义的。如果您想要最安全,请验证已签名的请求,如果无效则丢弃整个数据集。
我个人建议使用fbsr_APPID cookie而不是手动传递已签名的请求。对于那些试图在你的应用中逛逛的人来说,这有点模糊不清。