聯合FaceBook上的客戶端和服務器端authenticaion

Question

我有以下的使用情況

1. 我在iOS上的應用程序使用Facebook的iOS SDK與FB驗證
2. 然後應用程序使通過HTTPS REST調用我的服務器將FB帳戶註冊到他們的服務帳戶（我提供的服務）

在步驟2中，客戶端正在發送FaceBook UID。

我的問題是服務器沒有FB集成，以便有客戶端發送正確的FaceBook上的UID答覆。

所以，問題是顯而易見的，黑客可以別人的Facebook帳戶連接到他們的服務帳戶。

我想什麼是服務器（Java）來能夠驗證誰在發送請求的用戶擁有Facebook的UID問題。

我一直在線上搜索，找不到任何我認爲會起作用的東西。

我碰到一個模糊的職位後來有關使用FB signedRequest場，這可以傳遞給服務器驗證用戶。

任何想法，將不勝感激。

Answer 1

這裏有一個想法：

一旦你驗證用戶在iOS應用，得到了access_token，只有這通過在你的REST調用到你的服務器。

在服務器端，使用您傳輸的access_token向https://graph.facebook.com/me?access_token=...發出請求。如果訪問令牌有效，您將獲得所有用戶的數據，證明您擁有有效的，經過身份驗證的用戶。

如果你想成爲額外的肯定，你也可以要求http://graph.facebook.com/app?access_token=...以確保訪問令牌是由您的應用程序創建的。