身份驗證：Facebook用戶在服務器端訪問令牌驗證？

Question

這裏有很多問題都是關於服務器端Facebook access token的驗證過程。我有點困惑如何仍然安全？

我的客戶端和服務器流是：在客戶端使用Mobile SDK

1. 用戶Continue with Facebook。
2. Facebook將User access token返回給客戶端。
3. 服務器端點收到user access token（通過POST方法）並使用Graph API驗證access_token。
4. 在驗證用戶的情況下返回JWT授權令牌響應
5. 在此期間（一小時內），如果黑客找出endpoint並通過新access_token到砍死端點。

如果5th點被執行會發生什麼？很難破解POST參數，但是在反編譯應用程序並查看類文件（至少對於android apk）後可能是可能的。在這種情況下，服務器將無法識別僞造請求，並始終返回JWT Authorization令牌以進行進一步調用。

Facebook access_token的有效期爲60天。我需要在驗證端點時提供額外的安全層，以確保請求只來自應用程序嗎？

是否facebook user access_token無論何時用戶請求登錄？

任何形式的幫助都是可觀的。由於

Answer 1

解決方案：

生成access_token將永遠屬於一個應用程序。爲了驗證它通過在access_token和app_token：

https://graph.facebook.com/debug_token? 
access_token=ACCESS_TOKEN 
&app_token=APP_TOKEN