我正在尝试使用 chrome 扩展的 javascript 创建 Facebook 登录,该扩展将从服务器返回一些数据。
我目前可以顺利登录 Google 和 Facebook。 Google 将返回电子邮件地址和一个仅适用于我的应用的唯一 ID,以便我可以使用该 ID 以及提供的电子邮件地址登录我的服务器。
Facebook 返回真实的用户 ID 和电子邮件地址,这意味着任何有权访问 Facebook 的人都可以找到该 ID,如果他们知道电子邮件地址,就可以登录。
由于我不想要求用户每次重新启动浏览器或每隔几天就登录一次,因此从 facebook 获取对我的应用程序唯一的唯一恒定安全 ID 的最佳方法是什么?
当然,如果我在扩展中将其设置为唯一,那实际上并没有什么好处,因为任何人都可以读取扩展代码,然后找出如何从其他人的用户 ID 中获取唯一 ID。
Facebook 发送的授权代码不是恒定的,因此我无法将其发送到服务器来验证某人的身份。
最佳答案
“Facebook 返回真实用户 ID” - 错误,API 只返回 App Scoped ID。并且除了用户本人之外,任何人都无法登录。只需使用应用程序范围 ID,即可识别应用程序中的用户。顺便说一句,用户 ID 并不是真正需要保密的东西。访问 token 是。
关于Javascript facebook 登录 - 安全登录的最佳方式是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40912235/