Security 我的应用程序是否应该发布它';当使用外部oauth2提供商(facebook)时,用户是否拥有自己的访问令牌?
我想让用户可以在我的应用程序中使用外部oauth2提供商(facebook)登录。客户端部分在本机应用程序的移动设备上运行 我不确定我应该选择以下哪种方法Security 我的应用程序是否应该发布它';当使用外部oauth2提供商(facebook)时,用户是否拥有自己的访问令牌?,security,facebook-graph-api,oauth-2.0,access-token,Security,Facebook Graph Api,Oauth 2.0,Access Token,我想让用户可以在我的应用程序中使用外部oauth2提供商(facebook)登录。客户端部分在本机应用程序的移动设备上运行 我不确定我应该选择以下哪种方法 客户端是否应该通过facebook向每个请求发送用户的访问令牌?每次请求时,后端都会要求facebook验证访问令牌。后端根据验证结果执行授权并将相应结果返回给客户端 后端是否应要求facebook仅在用户登录时验证访问令牌,然后发布自己的访问令牌,将访问令牌返回给客户端,客户端将在向服务器发出请求时使用此访问令牌,以避免在每次请求时联系fa
Facebook发行的安全代币由签名者签名。API服务器只需要访问公钥即可验证签名。用户认证后,根本不需要联系Facebook 用户登录Facebook后发行自己的代币的原因可能是向代币添加声明。但很明显,拥有自己的授权服务器是有代价的。这取决于你权衡利弊
如果您决定拥有自己的授权服务器,请确保不要编写自己的授权服务器!有一些开源选项,比如。我将投票支持选项B,下面是我的解释