在這種情況下我具有其中一個應用程序:在移動設備(iOS的在這種情況下)上確認的NodeJS實憑證
用戶是登錄用Facebook單點登錄(SSO)。
然後將返回的Facebook憑據發送到NodeJS服務器(使用相同的Facebook應用程序密鑰),並且在與用戶的Facebook憑證關聯到基於程序的帳戶之前需要進行驗證。
問題:
授權訪問被Facebook作爲認證的結果返回的一切,怎麼能這個數據被用來確認與Facebook的授權?
https://graph.facebook.com/me?access_token=TOKENGOESHERE
如果用戶返回,他們的ID是客戶的權利要求,它們是什麼最有可能的,他們說他們是誰。
有兩件事情可以做:
的Facebook通常會傳給你一個signed request,你可以用一個基本的SHA2哈希檢查。如果散列是正確的,你可以假設用戶真的使用Facebook進行認證。
Facebook一般也會通過你(短命)access token,你可以exchange for a longer lived access token using the graph api。在這次交換完成後,你可以確信你的用戶是他所說的他。