在我的应用程序上,用户可以登录到Facebook,然后应用程序拥有用户的访问令牌(称为'abc'),我想使用此令牌在我自己的服务器上创建用户。是否使用Facebook访问令牌安全地验证用户?
将此访问令牌安全发送到我的服务器(使用SSL),然后在我的服务器上使用https://graph.facebook.com/me?access_token=abc获取用户的用户名和ID,并检查令牌所属的应用程序是否为我的https://graph.facebook.com/app?access_token=abc。如果是我的应用程序,我将用户存储在我的用户数据库中和/或登录。
该系统可能会被愚弄吗?你能想出一种方法可以让别人登录吗?