Tôi đang xây dựng một ứng dụng với các khối như sau:Facebook xác thực đến máy chủ của tôi sử dụng Android
Android - Client Side, Java Servlets - Sever Side, ứng dụng Facebook - được sử dụng để authenicate người sử dụng và làm việc với dữ liệu của họ.
Vấn đề của tôi là: Tôi muốn xác thực người dùng của mình qua facebook (chẳng hạn như yêu cầu được gửi từ ứng dụng khách android bằng facebook-android-sdk tới facebook) nhưng sau đó tôi muốn gửi yêu cầu tới máy chủ của tôi (được thực hiện bởi servlets) và để xác nhận bằng cách nào đó mà người dùng gửi yêu cầu được xác thực đến facebook và ứng dụng của tôi.
Vì vậy, đây là các bước:
người dùng X được tự động truy cập vào facebook và ứng dụng facebook của tôi bằng facebook-android-sdk. X đang gửi yêu cầu đến máy chủ của tôi
Đối với máy chủ, tôi chỉ muốn biết đó là người dùng thích hợp làm việc với tôi, tôi không cần máy chủ thực hiện bất kỳ yêu cầu API đồ thị nào.
Làm thế nào tôi có thể biết rằng X là hợp lệ trong máy chủ của tôi? Việc xác thực được thực hiện ở phía máy khách trong trường hợp đó.
Vì vậy, nếu máy chủ phải làm nhiều việc hơn thế, làm cách nào bạn biết nếu nó đã được xác thực? Thực hiện yêu cầu đến máy chủ của bạn từ ứng dụng Android đến tuyến đường cho biết liệu nó có hợp lệ hay không? – slackbot39243
Xin chào, đối với bất kỳ ai đang tìm kiếm cùng một luồng người dùng. Điều này LAF không đúng. Xem điều này: https://developers.facebook.com/docs/facebook-login/security/#tokenhijacking vấn đề với giải pháp này là, tôi có thể gọi API của bạn với access_token mà người dùng đã cung cấp cho ứng dụng của tôi và sử dụng nó trên ứng dụng của bạn. –