FaceBook身份验证和签名请求

在客户端，我使用FlashAPI登录并验证客户端

Facebook.init(MyFaceBooyKey, faceBookInit);

然后FaceBook向客户端发送一个签名请求和其他内容

然后，客户端将此签名请求发送到服务器

在我的服务器上，我处理已签名的请求，并弹出一个FaceBook用户id UID

所以现在我假设：

发送有效签名请求的客户机是其中包含的Face book UID的所有者，客户机必须知道该UID的密码，并登录到facebook

这个系统安全吗

如何安全地使用用户客户端facebook auth，然后将其授权到第二台服务器，例如sepreak facebook游戏服务器

我怎样才能证明已签署的请求在网络传输过程中没有得到处理， 然后由第三方发送给我，第三方现在以Uiffrent UID登录到我的服务器

如何对所有基于flash的facebook游戏的用户进行身份验证

---

我还注意到，同一本书的授权通过桌面应用程序不会发送签名请求？那么在这种情况下如何对我的服务器进行身份验证呢？

所有facebook的身份验证流都使用SLL https，因此您发送/获取的数据都是安全的。 所有graph api请求也是如此，如果您尝试在http中发出api请求，同时包含访问令牌，您将得到以下响应：

{
   "error": {
      "message": "You must use https:// when passing an access token",
      "type": "OAuthException",
      "code": 1
   }
}

如果您将已签名的请求和/或访问令牌发送到服务器，那么您也应该通过https进行发送，这样通信也将得到保护

客户端和我假设您的意思是flash客户端不是访问令牌/签名请求的所有者，您的应用程序是所有者

如果您需要服务器端的访问令牌，我建议您使用。

---

如果您需要客户端的访问令牌，那么您可以使用客户端身份验证，因为用户已经授权了应用程序并通过服务器端流进行了身份验证。客户端进程对于用户来说应该是完全不可见的，最后，客户端会有一个访问令牌，与服务器上的令牌不同。

好的，谢谢你，我几乎忘记了所有这些facebook应用程序开发人员，因为我找了一份真正的工作。你说的听起来不错。因此，我应该使用php进行服务器端身份验证，确保用户已登录，并且facebook ID确实存在。然后做一个客户端身份验证，它应该是不可见的，这样flash客户端就可以在墙上写。我得检查一下许可证申请是否相同？没错。在客户端使用带有“FB.login”的javascript sdk，并包含与服务器端相同的权限，您应该以静默方式获得客户端令牌。

 "message": "You must use https:// when passing an access token",
      "type": "OAuthException",
      "code": 1
   }
} "message": "You must use https:// when passing an access token",
      "type": "OAuthException",
      "code": 1
   }
} "message": "You must use https:// when passing an access token",
      "type": "OAuthException",
      "code": 1
   }
}