Подтверждение пользователя access_token

Question

Подтверждение пользователя access_token

В статье разработчика Facebook " Создание потока входа в систему вручную" есть раздел "Подтверждение личности". В нем упоминается, что вам нужно проверить коды и токены, которые вы получаете от них через redirect_uri,

Мой вопрос: поскольку вы ничего не знаете о пользователе, который только что вошел в систему, как вы можете проверить, что user_id что вы видите в ответе от конечной точки проверки токена правильно?

В статье говорится:

В результате ваше приложение должно подтвердить, что лицо, использующее приложение, является тем же человеком, для которого у вас есть данные ответа, прежде чем генерировать для них токен доступа.

Но как вы можете это сделать? Должны ли мы показывать общедоступную информацию об этом? user_id обратно к пользователю с пользовательским интерфейсом, который спрашивает "Это ты?". Я не видел никаких приложений / сайтов, которые делают это, поэтому я предполагаю, что это практически не сделано.

Я что-то пропустил?

0

facebook facebook-graph-api facebook-authentication facebook-authorization

Источник

user2371805 29 дек '13 в 22:48

1 ответ

Решение

Другие вопросы по тегам facebook facebook-graph-api facebook-authentication facebook-authorization

user1382832 30 дек '13 в 01:47 2013-12-30 01:47 · Accepted Answer · 2013-12-30 01:47

Вы можете использовать FB.getLoginStatus для получения информации о зарегистрированном пользователе. Возвращает объект ответа для пользователя. Если пользователь аутентифицировал ваше приложение, объект ответа будет выглядеть так:

{
    status: 'connected',
    authResponse: {
        accessToken: '...',
        expiresIn:'...',
        signedRequest:'...',
        userID:'...'
    }
}

Вы можете использовать UserId, возвращенный в этом объекте, для проверки личности пользователя.