FB.Event.subscribe('auth.authResponseChange', function(response) {
if (response.status === 'connected') {
FB.api('/me', function(response) {
switchTo('loggedin');
// connected & ok
});
}
else if (response.status === 'not_authorized') {
switchTo('loggedout');
// connected but not ok
FB.login();
}
else
{
switchTo('loggedout');
// not connected
FB.login();
}
});
所以这里有一个普通的facebook javascript登录函数。如果用户已连接并验证,我将ajax请求发送到包含给定ID的服务器fb.api('/me')
。但是任何人都可以更改代码,并以他们可以使用其他人的ID并将其发送到服务器的方式编辑代码。
如何验证通过javascript登录的用户是实际用户,而不仅仅是更改代码的人?
一个非常安全的方法是使用 PHP SDK: https://github.com/facebook/facebook-php-sdk
看"用法":
require 'facebook-php-sdk/src/facebook.php';
$facebook = new Facebook(array(
'appId' => 'YOUR_APP_ID',
'secret' => 'YOUR_APP_SECRET',
));
// Get User ID
$user = $facebook->getUser();
if ($user) {
//user is logged in
} else {
//user is not logged in
}
例如,您可以在使用 JS SDK 登录后重新加载页面,并在加载页面之前使用 PHP SDK 进行检查。
好的,
因为你使用PHP作为后端语言
我建议除了发送用户 id 之外,您还可以发送带有一些特殊盐的 id 哈希,这些盐在您的 java 脚本中没有显示在您的 php 代码中
作为示例
var url = "www.example.com/?id=SOME_ID&secret=<?php echo md5(SOME_ID.SECRET)";
和后端
$secret = $_GET['secret'];
$id = $_GET['id'];
if (md5($id.SECRET) == $secret){
//User is ok here
}else{
//Some one missing around
}
此代码用于显示想法而不是要使用的完整代码