construire un service avec une application Android, une application iOS, et un backend API, qui ont tous accès à l'API Graph

Question

J'essaye de construire un serveur avec une api de repos et une base de données. il a des clients ios et Android, où vous pouvez vous connecter avec facebook. le serveur peut recevoir le jeton d'accès que les clients obtiennent lorsqu'ils se connectent pour la première fois et l'envoyer au serveur. le serveur le stocke dans la base de données. maintenant, le serveur peut faire des appels graphiques API au nom du client.

mais voici ma question:

la prochaine fois que le client demande au serveur de faire quelque chose à ce sujet est le compte, quelle information doit-il envoyer pour que le serveur sait qui est le client? est-ce juste le jeton d'accès? merci

Answer 1

Juste le jeton d'accès est suffisant pour identifier de manière unique l'utilisateur et l'application. Vous pouvez l'essayer en cliquant sur graph.facebook.com/v2.10/me?fields=id & access_token = ... avec différents jetons pour vérifier quel utilisateur il est et si le jeton est toujours valide.

hors sujet, mais puisque vous utilisez déjà le serveur comme le middle-man pour vos demandes, je suggère d'utiliser le flux de code au lieu de flux jeton pour plus de sécurité: https://developers.facebook.com/docs/facebook-login/security#appsecret