FB.getLoginStatusまたはFB.loginがアクセストークンと署名付きリクエストを返すのはなぜですか？

Question

FB.getLoginStatusは、access tokenとsigned requestを返します。私はそれらを両方ともサーバー側に渡しました。ここではsigned requestを復号化し、codeを取得し、後者を使用してaccess tokenのFacebookを使用しました。

アクセストークンと有効期限は同じです。

なぜ私はそれらの両方が必要ですか？私はこの2つを比較することで何とかセキュリティ機能として使うべきでしょうか？

Answer 1

これらは冗長で、同じデータの2つのビューだけです。両者を比較することに意味はない。最も安全であるようにするには、署名付きリクエストを検証し、有効でない場合はデータ全体をスローします。

個人的には、署名付きリクエストを手動で渡す代わりにfbsr_APPID Cookieを使用することをお勧めします。これは、あなたのアプリを狙ってみようとしている人にとっては、はるかにあいまいです。