vinculadas todavía tinder tienes solucion saber que puedo publique permite permisos nuevo los lite inténtalo está estan esta descargar desarrollo cuentas configuró como celular aplicación aceptar abrir android facebook authentication

android - todavía - permisos de facebook tinder



¿Cómo puedo autenticarme en el servicio web de mis aplicaciones después de usar Facebook SSO en Android? (2)

Estoy creando una aplicación de Android que usa Facebook SSO para iniciar sesión y no estoy seguro de cómo autenticarme con mis propios servicios web después de iniciar sesión en FB. Cuando un usuario abre mi aplicación por primera vez, inicia sesión en Facebook, autoriza mi aplicación algunos privilegios y continúa en mi aplicación. Esta parte funciona muy bien, pero ahora para usar mi aplicación necesitan crear una cuenta en mi servidor y hablar con mis servicios web.

En este momento tengo una llamada a un servicio web de autenticación en mi servidor que agrega su ID de Facebook y otra información básica en una base de datos y al mismo tiempo hace un intercambio de claves Diffie-Hellman para que cualquier llamada futura a los servicios web pueda cifrarse mediante una clave compartida . Pero el problema es que la primera llamada inicial para crear esta cuenta y crear esta clave compartida, ¿cómo puedo autenticar eso? ¿Cómo sé que esta persona es realmente la única que se autenticó con Facebook y no solo alguien que encontró la URL para mi servicio web y está creando cuentas y guardando las claves?


Creo que debe pasar una contraseña junto con su información básica sobre la creación del perfil. Con todo, el SSO de Facebook solo le da a su aplicación cliente el derecho de acceder al usuario de perfil, pero no garantiza sus servicios web que la persona que llama es el propietario real de esta cuenta de FB. Me temo que las llamadas subsiguientes del cliente de Android al servicio web deben ser autenticadas a través de una contraseña de usuario / nombre normal (diferente de la cuenta FB) si desea asegurarse de que la persona que llamó es quien recuperó la clave la primera hora (sin importar a qué perfil de Facebook pueda estar vinculado).


Facebook SSO devuelve un token de acceso. Si lo desea, puede pasar eso a su servidor y su servidor puede hacer una llamada a las API de Facebook para verificar que sea un token de acceso válido para ese usuario (por ejemplo, llamando a https://graph.facebook.com/ yo? access_token = ACCESS_TOKEN ) - si es así, está bien y ha verificado que el usuario es quien dice que es (o es un hacker con suficiente acceso para tener un token de autenticación válido para su aplicación para Facebook, en el cual señalar que su identidad se ha visto comprometida al final de Facebook).