我想让用户通过Facebook或电子邮件/密码注册。在这两种情况下,我都会在注册流程中询问他们的名字、姓氏和电子邮件地址;但如果他们通过Facebook注册,我会将数据从用户对象客户端传递到表单字段,以便预先填充。还有一个领域:接受我们的条款和条件。
一旦用户通过Facebook进行认证并接受了t&cs,他们需要点击确认按钮。然后,这会触发我的服务器端验证(PHP),以确保表单被有效填写,然后负责在DB中创建用户、会话变量"已登录"等。
我的问题如下:我需要在服务器端做什么来确保我在POST数据中得到的用户确实是通过FB进行身份验证的用户我是否应该将访问令牌作为隐藏的表单字段传递,并使用FB PHP SDK检查表单中的电子邮件和通过PHP调用的用户中的电子邮件是否相同,以及令牌是否与我的应用程序对应?或者有更好的方法吗?
脸书的文档在这个问题上非常模糊,有很多选择,有很多链接,没有清晰的图片。
谷歌解释得很好,所以我将使用这个流程。
实际上,您只需要在服务器上检索User对象,并根据它验证POST数据
使用Graph API,使用客户端API还是服务器API进行身份验证并不重要,因为它们共享相同的身份验证。
您只需要确保在服务器和客户端上检索相同数据时确实需要这种冗余。