身份验证：Facebook用户在服务器端访问令牌验证？

Question

这里有很多问题都是关于服务器端Facebook access token的验证过程。我有点困惑如何仍然安全？

我的客户端和服务器流是：在客户端使用Mobile SDK

1. 用户Continue with Facebook。
2. Facebook将User access token返回给客户端。
3. 服务器端点收到user access token（通过POST方法）并使用Graph API验证access_token。
4. 在验证用户的情况下返回JWT授权令牌响应
5. 在此期间（一小时内），如果黑客找出endpoint并通过新access_token到砍死端点。

如果5th点被执行会发生什么？很难破解POST参数，但是在反编译应用程序并查看类文件（至少对于android apk）后可能是可能的。在这种情况下，服务器将无法识别伪造请求，并始终返回JWT Authorization令牌以进行进一步调用。

Facebook access_token的有效期为60天。我需要在验证端点时提供额外的安全层，以确保请求只来自应用程序吗？

是否facebook user access_token无论何时用户请求登录？

任何形式的帮助都是可观的。由于

Answer 1

解决方案：

生成access_token将永远属于一个应用程序。为了验证它通过在access_token和app_token：

https://graph.facebook.com/debug_token? 
access_token=ACCESS_TOKEN 
&app_token=APP_TOKEN