理解Facebook註冊插件

Question

我已經在我的網站上成功安裝了Facebook註冊插件，但我剩下一些沒有答案的問題。

1. 一個用戶通過Facebook身份驗證後，我應該只是存儲從Facebook的UID在我的數據庫在我與Facebook的用戶應用程序相關的記錄？

2. 如果我理解正確，Facebook應該發回一個「訪問令牌」究竟應該做什麼呢？應用程序中的每個必需頁面是否應該檢查此訪問令牌？如何驗證用戶是否已通過身份驗證，而不是在每次要驗證用戶時都調用類似FB.getSession的內容時仍然登錄？

3. 如果用戶通過Facebook註冊而沒有Facebook帳戶註冊，並且返回完全由我來處理用戶名和密碼的驗證和存儲或者Facebook仍然在這裏插入？

4. 在哪裏和什麼是應用程序的祕密使用？

5. 據說Facebook會返回一個「簽名請求」。這與返回的數據分開嗎？向Facebook發回每個請求需要驗證簽名請求？

我還有更多問題要提出，但我現在就從這些開始。

Answer 1

1. 是的。
2. oauth_token可以用來向API提出請求，一旦他們允許您的應用程序。
3. 我沒有用這個工具來保存密碼，但註冊流程可以found here
4. 的signed_request參數是使用你的應用程序祕密，那是隻有你和Facebook知道，以確保數據您收到簽署是Facebook發送的實際數據。
5. Facebook返回的數據是signed_request，它是一個編碼的JSON字符串。沒有你的應用程序祕密，你無法解碼它。您通過解碼signed_request來驗證返回數據。