ウェブサイトとモバイルアプリケーション間の共有Facebookアクセストークン

Question

DevailsとOmniauthのあるRails 3.1とモバイルアプリケーション（iOS5）が認証を共有したいと思います。これにより、ユーザーはFacebookでのSSI、またはモバイルアプリケーションへのSSIが可能になり、モバイルアプリケーションはWebサイトの認証にユーザーの資格情報を使ってWebサイトのAPIと対話できるようになります。

私は現在、ユーザーがSSIでアカウントにアクセスできるようになっています。また、SSIをサポートしているモバイルアプリケーションも動作しています。どちらも同じFacebookアプリケーションを使用しています。

私の問題は、モバイルアプリケーションがサイトに対して認証するために使用できる2つのものの間で共有されるものを見つけることです。明らかに、どちらも同じユーザーIDにアクセスできますが、これはあまり安全ではないようです。私のモバイルアプリケーションにはアクセストークンがありますが、これはウェブサイトのアクセストークンとは異なりますが、それらは似ていますが、私のウェブアクセストークンは失効します。

ウェブ/ Railsのトークン（本物ではない）：

DDDAKnu1dg40BDHEWN0VDssxs8GGF8ZBEEOb38HnS0IUEQC1NSufmPCcGeFkTuw39ZDl7OhlZBD2jwJEqXdAZCtZBflJRQKZB4ZA

モバイル/ iOSのトークン（本物ではない）

BDDAKnu1dg40BDEo3YjZD2hIwjfZB4slXJj3fmHfzLh5q1xZD0ShfJCb6PMjnApkpM0FTuGGvWnzZBQy4GZCMuysEEqhMz8YgruD53TXKTZC0GPFkfVe0b6fe8wieLLOZDDZA

使用

Facebookのaccess token debugger私は、次の（削除すべては、トークン間で同一である）を得る：Web用

/Railsのトークン：携帯電話/ iOS用

App ID: 
XXXXXXXXXXXXXXXX : SomeAppName 
User ID:  
XXXXXXXX : My Name 
Issued: 
1327507734 : 8:08 am Jan 25 2012 
Expires:  
Never 
Valid: True 
Origin: Web 
Scopes: email offline_access 

：

App ID: 
XXXXXXXXXXXXXXXX : SomeAppName 
Metadata: {"sso":"iphone-safari"} 
User ID:  
XXXXXXXX : My Name 
Issued: 
1327507734 : 8:08 am Jan 25 2012 
Expires:  
Never 
Valid: True 
Origin: Native Mobile 
Scopes: email offline_access 

Answer 1

FacebookのAPIを少し変更する必要があります。承認時に

[self authorizeWithFBAppAuth:YES safariAuth:YES]; 

[self authorizeWithFBAppAuth:NO safariAuth:NO]; 

あなたがfbAppやSafariでのauthしたいときに、トークンに問題があるsomethimesので

へ。私はこの同じ問題を抱えていました。私のWebサービスのトークンはこれによって異なるのです。

Answer 2

私がこれを処理する方法は、モバイルトークンをサーバーに渡し、サーバーにトークンの信頼性をチェックさせることです。これが確認されると、私はuidと電子メールを使って自分のレコードに対して認証を確認できます。

Answer 3

これを解決する方法は、モバイル上でFacebook経由で認証し、暗号化されたf_uidをレールアプリに送信し、f_uidを復号化し、実際に誰がサーバーにログインしているかを確認することです。