【发布时间】:2011-08-24 03:36:16
【问题描述】:
我想允许用户使用他们的 Facebook 帐户连接到我的网站。
首先,用户授权我的应用程序,然后我得到一个访问令牌。问题是,我应该第一次注册用户,下次根据他的 Facebook 电子邮件自动登录。
如何创建一种安全 方式来自动登录用户? 我使用的是纯 javascript,但我找不到任何方法来创建安全机制。
谢谢。
【问题讨论】:
标签: facebook api oauth oauth-2.0
【发布时间】:2011-08-24 03:36:16
【问题描述】:
Facebook 应该为您处理所有这些 - 当他们返回您的网站时,他们可以单击“登录”按钮(javascript SDK)并且 facebook 应该将访问令牌传回给您。
但是,我可能误解了这个问题。
【讨论】:
-
是的,但是一旦用户注册了,我如何进行自动登录?我首先检查电子邮件是否存在,如果不存在 - 这是他第一次使用连接,如果存在 - 我应该根据电子邮件地址自动登录他。 javascript sdk 不能安全地发布这样的变量(我考虑获取访问令牌,然后从我的服务器发布以验证电子邮件)
-
您为什么不认为 SDK 对此是安全的?我对 SDK 的使用很生疏,但我认为 developers.facebook.com/docs/reference/javascript/… 和 developers.facebook.com/docs/reference/javascript/FB.login 的组合应该可以满足您的需求
-
好的,但我需要验证我这边的电子邮件。这意味着电子邮件正在以某种方式发送,并且 javascript 很容易操作。它必须类似于获取访问令牌 + 电子邮件(通过 JS),然后强制我的服务器将访问令牌发送到 facebook 并比较收到的电子邮件是否等于前一个(因此用户没有黑客攻击)
-
我终于做了什么...得到了访问令牌 -> GET 请求给我/?access.... --> 通过服务器而不是客户端从 Facebook 获取详细信息