JS APIのFB.login
メソッドは、ユーザーIDを含むユーザー情報の辞書を含む応答を返します。それはJS APIのクライアント側に存在します。ユーザーIDのJS APIログインの保証?
これがfacebokキャンバスアプリを実行しているサーバーに返される場合、サーバーはユーザーIDが改ざんされていないことを信頼する必要があります。応答で返される署名付きチェックサムがないので、これがどのように保証されるかはわかりません。
POSTで署名されたリクエストからユーザーIDを取得してセッションに格納する方法を確認できますが、それは正しいとは思われません。私はこれを安全に行う方法があると確信しています。それはそれよりもバロックではありません。
アイデア?