我正在使用ASP.Net MVC3构建Facebook游戏。 (就技术和外观而言,更像是Mafia Wars,更不像Farmville)。 几乎所有的游戏动作都会被我们写的Javascript(它调用REST API)触发。Facebook应用程序 - 有关用户的Facebook标识的安全考虑事项
现在,我们的游戏身份验证是使用Facebook的JS SDK完成的,我们还要求提供脱机访问权限。所以我们在用户第一次注册时将auth_token保存在我们的数据库中。
我想知道什么是访问用户的ID为但从安全性(并使其很难为人们欺骗IDS)
我点的应用程序中执行的操作的最佳方式知道以下方法:
将其存储在全局JavaScript变量中,并使用JS SDK将其加载到每个页面加载中。 (坏主意,因为这可以很容易地在Firebug中更改)
使用设置的fbs_ [app-id] cookie从服务器端读取值。 (同样,我能够更改发布到服务器的cookie中的值)
使用C#SDK并使用API提供的auth_code获取ID(for/me)以获取ID cookie(到目前为止最安全的方式 - 也是最慢的)
任何指针将不胜感激。 也请让我知道,如果我对此过分偏执。
我确定必须有一个干净,简单,安全的方法,我忽略了!
谢谢。