FB.getLoginStatus返回access token和signed request。我已将它们传递到服务器端,我已经解密signed request,获得code并使用后者 - 请求Facebook access token。
访问令牌及其到期时间都相同。
为什么我需要它们?我应该通过比较这两个来以某种方式使用它作为安全功能吗?
答案 0 :(得分:1)
它们是多余的,只有两个相同数据的视图。比较两者是没有意义的。如果您想要最安全,请验证已签名的请求,如果无效则丢弃整个数据集。
我个人建议使用fbsr_APPID cookie而不是手动传递已签名的请求。对于那些试图在你的应用中逛逛的人来说,这有点模糊不清。