Accesso mobile Facebook e convalida lato server

Question

Sto lavorando a un'app mobile con accesso Facebook integrato (utilizzando fb android sdk). Ho anche un server con alcuni endpoint di riposo che vorrei proteggere. Mi sono guardato intorno per giorni cercando di trovare la soluzione migliore (leggendo gli articoli sul sito dev: https://developers.facebook.com/docs/facebook-login/security, altri post StackOverflow) ma non sono sicuro di quale sia la soluzione migliore.

Al momento ho la seguente configurazione in atto:

1. utente accede su App utilizzando Facebook (mobile Android SDK).
2. Quando si richiede una risorsa da un endpoint di resto, il token verrà aggiunto come intestazione.
3. Sul lato server che convalidare il token con il fb debug_token endpoint (https://developers.facebook.com/docs/graph-api/reference/v2.5/debug_token)
4. Se la convalida è successo permetto la mia risorsa resto da 'chiamato'

Come potete vedere avrò faccio la mia richiesta a Facebook (lato server) per ogni richiesta che ricevo. C'è un modo migliore per risolvere questo problema?

Grazie in anticipo!

Answer 1

Facebook utilizza OAuth e con questo protocollo è necessario avere nelle intestazioni di risposta o nell'organico un attributo di tempo di scadenza associato al token.

Quindi è possibile memorizzare ovunque si desideri la tupla (token, token_expiry) per aggirare la richiesta su Facebook il più delle volte.

in realtà si dovrebbe avere una risposta con quegli attributi:

{ 
"access_token": <access-token>, 
"token_type":<type>, 
"expires_in":<seconds-til-expiration> 
}