Xác thực Facebook cho dịch vụ JSON bằng ứng dụng android

Question

Tôi đang viết một ứng dụng Android sử dụng dịch vụ web JSON và tôi muốn sử dụng Facebook để xác thực.

Điều tôi không chắc chắn về cách bảo mật dịch vụ web.

Tôi có nên sử dụng mã thông báo xác thực được trả về từ đăng nhập Facebook làm mật khẩu cho dịch vụ web không?

Tôi không chắc chắn nơi mã thông báo được lưu trữ và cách truy xuất mã thông báo? Tôi cũng làm cách nào để cập nhật dịch vụ web bằng mã thông báo mới khi hết hạn?

Tôi đang xem xét chỉ sử dụng khóa api nhưng điều đó có nghĩa là ai đó có thể lạm dụng dịch vụ web nếu họ đã dịch ngược gói ứng dụng và nhận khóa api.

Mọi đề xuất đều được hoan nghênh.

Tôi đang sử dụng PhoneGap nên tôi đoán có tùy chọn sử dụng cookie nhưng tôi không biết chính xác cách thức.

Answer 1

Có hai phương pháp được thảo luận ở đây tại Stack Overflow

1>How do I authenticate with my own site's API when using Facebook Connect for logins/account creation?

2>Facebook Connect to authenticate on a personal API

Xem nếu họ làm việc cho bạn.

Answer 2

Tôi có nên sử dụng mã thông báo xác thực được trả về từ đăng nhập Facebook làm mật khẩu cho dịch vụ web không?

Tôi khuyên bạn nên sử dụng một trong các SDK được hỗ trợ của chúng tôi để xử lý xác thực đăng nhập. Bạn, là nhà phát triển, không phải lo lắng về việc lưu trữ mật khẩu/thẻ/etc. Bằng cách sử dụng đăng nhập fb, chúng tôi xử lý tất cả điều đó. Tôi khuyên bạn nên đọc thêm về cách sử dụng Facebook làm thông tin đăng nhập here.

Tôi không chắc chắn nơi mã thông báo được lưu trữ và cách truy xuất mã thông báo? Tôi cũng làm cách nào để cập nhật dịch vụ web bằng mã thông báo mới khi hết hạn?

Tôi khuyên bạn nên đọc this doc để xem cách chúng tôi khuyên bạn nên truy xuất và cập nhật mã thông báo truy cập khi hết hạn.