Sto lavorando a un'app mobile con accesso Facebook integrato (utilizzando fb android sdk). Ho anche un server con alcuni endpoint di riposo che vorrei proteggere. Mi sono guardato intorno per giorni cercando di trovare la soluzione migliore (leggendo gli articoli sul sito dev: https://developers.facebook.com/docs/facebook-login/security, altri post StackOverflow) ma non sono sicuro di quale sia la soluzione migliore.Accesso mobile Facebook e convalida lato server
Al momento ho la seguente configurazione in atto:
- utente accede su App utilizzando Facebook (mobile Android SDK).
- Quando si richiede una risorsa da un endpoint di resto, il token verrà aggiunto come intestazione.
- Sul lato server che convalidare il token con il fb debug_token endpoint (https://developers.facebook.com/docs/graph-api/reference/v2.5/debug_token)
- Se la convalida è successo permetto la mia risorsa resto da 'chiamato'
Come potete vedere avrò faccio la mia richiesta a Facebook (lato server) per ogni richiesta che ricevo. C'è un modo migliore per risolvere questo problema?
Grazie in anticipo!
Verificare il token una volta, e poi memorizzare il risultato nella sessione. – CBroe
Quindi dovrei conservare il risultato dal debug token memorizzato in un database? – Jdruwe
A meno che non stiate estendendo il token, perché sarà valido solo per circa due ore. – CBroe