理解Facebook注册插件

Question

我已经在我的网站上成功安装了Facebook注册插件，但我剩下一些没有答案的问题。

1. 一个用户通过Facebook身份验证后，我应该只是存储从Facebook的UID在我的数据库在我与Facebook的用户应用程序相关的记录？

2. 如果我理解正确，Facebook应该发回一个“访问令牌”究竟应该做什么呢？应用程序中的每个必需页面是否应该检查此访问令牌？如何验证用户是否已通过身份验证，而不是在每次要验证用户时都调用类似FB.getSession的内容时仍然登录？

3. 如果用户通过Facebook注册而没有Facebook帐户注册，并且返回完全由我来处理用户名和密码的验证和存储或者Facebook仍然在这里插入？

4. 在哪里和什么是应用程序的秘密使用？

5. 据说Facebook会返回一个“签名请求”。这与返回的数据分开吗？向Facebook发回每个请求需要验证签名请求？

我还有更多问题要提出，但我现在就从这些开始。

Answer 1

1. 是的。
2. oauth_token可以用来向API提出请求，一旦他们允许您的应用程序。
3. 我没有用这个工具来保存密码，但注册流程可以found here
4. 的signed_request参数是使用你的应用程序秘密，那是只有你和Facebook知道，以确保数据您收到签署是Facebook发送的实际数据。
5. Facebook返回的数据是signed_request，它是一个编码的JSON字符串。没有你的应用程序秘密，你无法解码它。您通过解码signed_request来验证返回数据。