Session Facebook访问令牌随每个请求发送到服务器

因此，我有一个android应用程序，可以登录facebook。用户登录后，应用程序将用户的访问令牌发送到服务器进行验证。服务器通过使用该访问令牌向facebook发出简单请求来验证令牌的有效性

现在，在这个初始验证之后，我需要验证客户端android应用程序向服务器发出的每个后续请求，以识别客户端。我是否应该在每个请求（POST请求）的主体中包含访问令牌，并确认它与在上述登录过程中收到的访问令牌匹配？获取请求怎么样？

---

更新：我需要在客户端（android应用程序）和服务器上维护会话，以便服务器识别客户端。在我的例子中，假设两个不同的用户登录，并且都向服务器发出GET请求。我的服务器不知道用户是谁，因为我没有可以通过在rails中创建会话变量在android应用程序上持久化的会话-客户端的应用程序需要与服务器具有相同的会话变量。但我不知道如何在不发送访问令牌或每个请求的@user.id的情况下做到这一点……我想知道是否有更好的方法来做到这一点。

在每个请求中传递令牌并在服务器上验证是标准的解决方案。 不管HTTP方法如何，将令牌作为HTTP头发送也是一种标准做法

当您使用它时，使用标准OAuth2头来跨令牌“Bearer”发送消息。如下图所示

Bearer: 8QIEF9QWEDFCQERMF0139RF1E=

---

谢谢来回发送相同的未加密FB访问令牌有意义吗？我的意思是有任何安全考虑吗？你的网站不是HTTPS吗？如果是，则包含标头的数据无论如何都是加密的，因此无需再次加密。如果不是，我建议您使用HTTPS，否则您需要加密令牌。但不建议您自己加密，因为您需要在服务器和应用程序之间共享密钥，这是维护的噩梦。此外，如果你认为答案是正确的，请你这样做。