1
我有一个移动游戏应用程序。在签署新用户的时候,我把它们放在一个数据库表像:Facebook连接应该取代传统的用户帐户创建?
id | email | username | password_hashed | etc
我不理解我们做什么,如果我们使用Facebook Connect来让他们“注册”的应用程序。是否允许他们跳过填写注册表单的想法?我会修改用户表看起来像:
id | email | username | password_hashed | optional_fb_id
---------------------------------------------------------------
1 [email protected] foo xyz null
2 null grok null 789
的想法是,如果他们注册了“正常”的方式,他们必须给我他们的电子邮件地址,并为他们的帐户密码(行1)。如果他们使用Facebook连接注册,我不需要他们的电子邮件或密码,我只是存储他们的Facebook ID呢? (第2行)。
感谢
这很有道理,但它有密码一样安全吗?也就是说,有人可以通过在登录过程中以某种方式提供ID来模仿用户并冒充用户吗? – john 2012-03-02 00:27:01
该文档声明“数据作为签名请求传递给您的应用程序''signed_request'参数是一种简单的方法,用于确保您接收的数据是Facebook发送的实际数据,并使用您的应用程序进行签名秘密,只有你和Facebook知道,如果有人要对数据进行更改,签名将不再验证,因为他们不知道你的应用程序秘密,以便更新签名。“因此,我认为它与Facebook会话一样安全(即攻击者需要以某种方式登录或劫持会话)。 – Kyle 2012-03-06 01:21:30