在我的應用程序上,用戶可以登錄到Facebook,然後應用程序擁有用戶的訪問令牌(稱爲'abc'),我想使用此令牌在我自己的服務器上創建用戶。是否使用Facebook訪問令牌安全地驗證用戶?
將此訪問令牌安全發送到我的服務器(使用SSL),然後在我的服務器上使用https://graph.facebook.com/me?access_token=abc獲取用戶的用戶名和ID,並檢查令牌所屬的應用程序是否爲我的https://graph.facebook.com/app?access_token=abc。如果是我的應用程序,我將用戶存儲在我的用戶數據庫中和/或登錄。
該系統可能會被愚弄嗎?你能想出一種方法可以讓別人登錄嗎?