我们有一个网站,它使用社交网络登录。现在我们正在为其构建一个移动应用程序。问题是——我们如何在服务器端进行安全登录?
现已实现移动应用登录。我们在手机上收到uuid和auth_token,现在我们需要在服务器上执行用户身份验证。我们不能只使用 uuid,因为它不安全,也不能使用 auth_token,因为它会随着时间的推移而变化。
谷歌搜索只会让我看到“打开 WebView 并执行登录”之类的东西 - 我认为这是一个糟糕的设计,因为用户无法使用系统帐户,并且应该输入他登录的那些网络的凭据已经。
我真的很困惑。您建议我做什么?
最佳答案
所以,我自己寻找解决方案。
要执行此操作,请执行以下 3 个步骤:
1) 将 auth_token 和 uid 从移动应用程序发送到 Web 服务器 2) 向社交网络执行请求,使用该 auth_token 询问用户的 uid(例如,对于 facebook,这将是/user/me 请求) 3) 检查网络返回的 uid 是否等于手机发送的 uid。
第三步是可选的 - 前两个步骤足以检查具有此 token 的用户是否确实存在。
当您实现它时,请确保使用 https 从移动设备向服务器发送请求 - 因为在这种情况下它将是安全的,并且您不会被社交网络禁止;)
关于ios - 网站移动应用程序中的社交登录,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28885996/