Android 将facebook与我当前的登录系统整合移动应用程序欺骗?
我有一个移动应用程序已经有一段时间了,它使用自定义的登录流,利用json web令牌(基于Java的前端服务器)。为了方便起见,我现在希望能够允许用户通过Facebook登录。阅读Facebook登录的流程用户输入他们的FB凭据,然后Facebook返回设备(当然,如果成功的话)访问令牌以及其他信息,如电子邮件、范围等。当这些信息返回到设备时,我会将电子邮件地址发送到我的服务器,并检查它是否是当前用户。如果是,我会允许他们继续,但如果他们是新的,他们将需要添加一些额外的信息。我看到的问题是,用户在将电子邮件发送到我的服务器之前,不能在客户端伪造电子邮件地址吗?我如何知道进入我的应用程序的电子邮件是为我验证的用户发送的 我阅读了他们关于将FB与现有登录系统(但似乎找不到)和android/iOS登录集成的文档,但找不到如何防止这种常见情况 我看到的问题是,用户在将电子邮件发送到我的服务器之前,不能在客户端伪造电子邮件地址吗Android 将facebook与我当前的登录系统整合移动应用程序欺骗?,android,ios,facebook,Android,Ios,Facebook,我有一个移动应用程序已经有一段时间了,它使用自定义的登录流,利用json web令牌(基于Java的前端服务器)。为了方便起见,我现在希望能够允许用户通过Facebook登录。阅读Facebook登录的流程用户输入他们的FB凭据,然后Facebook返回设备(当然,如果成功的话)访问令牌以及其他信息,如电子邮件、范围等。当这些信息返回到设备时,我会将电子邮件地址发送到我的服务器,并检查它是否是当前用户。如果是,我会允许他们继续,但如果他们是新的,他们将需要添加一些额外的信息。我看到的问题是,用户
然后不要发送电子邮件地址–发送访问令牌,并在服务器端请求他们的数据(包括电子邮件地址)
Facebook在其文档中有大量处理此类安全问题的资源。选中f.e.,然后不发送电子邮件地址–发送访问令牌,并在服务器端请求他们的数据(包括电子邮件地址),我希望您知道,您不会为每个Facebook用户都获得电子邮件地址。@CBroe好的,所以我只是阅读了您的链接,这是一个我需要通过HTTP请求调用的端点。非常感谢。如果您创建了一个答案,我会将其标记为正确答案。再次感谢!