Метод FB.login
JS API возвращает ответ со словарем информации о пользователе, включая идентификатор пользователя. Это существует на стороне клиента в JS api.Facebook JS API Войти в систему с идентификатором пользователя?
Если это будет отправлено обратно на сервер, на котором запущено приложение холста facebok, сервер должен доверять идентификатору пользователя, который не был подделан. Поскольку нет контрольной суммы, которая возвращается с ответом, я не вижу, как это можно гарантировать.
Я могу видеть, как вы можете взять идентификатор пользователя из подписанного запроса POST и сохранить его в сеансе, но это не кажется совершенно правильным. Я уверен, что есть способ сделать это безопасно, что меньше барокко, чем это.
Идеи?