1
我有一個移動遊戲應用程序。在簽署新用戶的時候,我把它們放在一個數據庫表像:Facebook連接應該取代傳統的用戶帳戶創建?
id | email | username | password_hashed | etc
我不理解我們做什麼,如果我們使用Facebook Connect來讓他們「註冊」的應用程序。是否允許他們跳過填寫註冊表單的想法?我會修改用戶表看起來像:
id | email | username | password_hashed | optional_fb_id
---------------------------------------------------------------
1 [email protected] foo xyz null
2 null grok null 789
的想法是,如果他們註冊了「正常」的方式,他們必須給我他們的電子郵件地址,併爲他們的帳戶密碼(行1)。如果他們使用Facebook連接註冊,我不需要他們的電子郵件或密碼,我只是存儲他們的Facebook ID呢? (第2行)。
感謝
這很有道理,但它有密碼一樣安全嗎?也就是說,有人可以通過在登錄過程中以某種方式提供ID來模仿用戶並冒充用戶嗎? – john 2012-03-02 00:27:01
該文檔聲明「數據作爲簽名請求傳遞給您的應用程序''signed_request'參數是一種簡單的方法,用於確保您接收的數據是Facebook發送的實際數據,並使用您的應用程序進行簽名祕密,只有你和Facebook知道,如果有人要對數據進行更改,簽名將不再驗證,因爲他們不知道你的應用程序祕密,以便更新簽名。「因此,我認爲它與Facebook會話一樣安全(即攻擊者需要以某種方式登錄或劫持會話)。 – Kyle 2012-03-06 01:21:30