我正在使用以下块构建应用程序:
Android - 客户端,Java Servlets - 服务器端,Facebook应用程序 - 用于验证用户身份并使用他们的数据。
我的问题如下:我想通过Facebook验证我的用户(例如从android客户端使用facebook-android-sdk发送到facebook的请求),但后来我想向我的服务器发送请求(由servlets)并以某种方式验证发送请求的用户是否已通过Facebook和我的应用程序验证。
所以这些是步骤:
用户X使用facebook-android-sdk验证到Facebook和我的Facebook应用程序。 X正在向我的服务器发送请求
至于服务器,我只想知道它是一个正在使用我的用户,我不需要服务器来执行任何Graph API请求。
我怎么知道X在我的服务器中有效?在这种情况下,身份验证是在客户端执行的。
所以你有:Facebook - Android应用程序 - 您的Web服务器。并且您的Web服务器需要知道您是您正在呈现的Facebook用户。问题是您不能相信Android客户端提供给您的任何数据。
我解决了这个问题:
如果来自Web服务器的调试端点API调用返回有效信息(应用程序ID和用户ID),则您的服务器可以信任该ID(并且您可以确定Android身份验证是真实的)
这个问题的更好答案(包含来自tomas.tunkl评论的信息)如下:
(因为我链接了文档,我还将从这里的调试和错误处理链接中提取一些信息,以显示如何进行调用以及您获得的内容:)
使用访问令牌时,您可能需要检查与其关联的信息,例如其用户或到期日期。要获取此信息,您可以使用我们的调试工具,也可以使用API端点。
要使用API,您可以发出图表API请求:
GET /debug_token? input_token={input-token}& access_token={access-token}input_token:您想要获取有关信息的访问令牌
access_token:您的应用访问令牌或来自应用开发者的有效用户访问令牌API调用的响应是包含字段映射的JSON数组。例如:
{ "data": { "app_id": 000000000000000, "application": "Social Cafe", "expires_at": 1352419328, "is_valid": true, "issued_at": 1347235328, "scopes": [ "email", "publish_actions" ], "user_id": 1207059 } }请注意,对于短期访问令牌,不会返回issued_at字段。
这将确保您拥有从用户自己的密钥生成的Facebook用户的有效令牌;意味着他们已经正确认证。