У меня есть следующий вариант использования
- Мое приложение на iOS использует FaceBook iOS SDK для аутентификации в FB
- Затем приложение делает REST-вызов через https на мой сервер, чтобы зарегистрировать учетную запись FB в своей служебной учетной записи (услуга, которую я предлагаю)
На шаге 2 клиент отправляет UID FaceBook.
Моя проблема в том, что сервер не имеет интеграции с FB, поэтому должен отвечать клиенту, отправляющему правильный UID FaceBook.
Итак, проблема очевидна, хакер может привязать чужой аккаунт FaceBook к своему сервисному аккаунту.
Я хотел бы, чтобы сервер (Java) мог проверить, что пользователь, отправляющий запрос, владеет рассматриваемым UID Facebook.
Я искал в Интернете и не могу найти ничего, что, как я думаю, будет работать.
Я наткнулся на расплывчатый пост об использовании поля FB signedRequest
, его можно было передать на сервер для проверки пользователя.
Любая идея будет оценена.