我是否要将 Facebook 用户的离线访问令牌存储在我的用户数据库中?
我正在制作一个网络应用程序,在用户使用 facebook 登录并使用我的网络应用程序后,我可以从他/她的 facebook api 获取用户的信息。
我有 PHP 代码,当用户登录我的应用程序时,它成功地从用户那里获取离线访问 access_token。
但是,我不确定如何处理该令牌。 当我将有关新用户的其他信息插入数据库时,是否将其插入数据库,以便在用户离线时可以访问它? 如果是这样,我应该使用与密码相同的安全性来对待它吗?
非常感谢任何帮助/建议。
I am making a web application where I get a user's information from his/her facebook api after he/she logs in with facebook to use my web application.
I have PHP code that succeeds in getting an offline_access access_token from a user when he/she logs into my application.
However, I am not sure what to do with that token.
Do I insert it into the database when I insert other information about the new user into my database, so I can have access to it when the user is offline?
If so, should I be treating it with the same security as a password?
Any help/suggestions greatly appreciated.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
根据 Facebook SDK,您应该存储用户会话 (sdk2.x) 或仅存储访问令牌 (sdk3.x)。最好的存储位置是数据库。我通常在用户创建时保存令牌,并在用户登录时刷新保存的令牌(因为令牌仍然有过期时间)。
然后,当您需要使用令牌(或会话)时,您应该使用
或
希望这会有所帮助。
Depending on Facebook SDK you should store user session (sdk2.x) or only access token (sdk3.x). The Best place to store is database. I usually save tokens on user creation and refresh saved token on user login (cause tokens still have expiration time).
Then, when you need to use the token (or session), you should use either
or
Hope this helped.
是的,您将令牌存储在数据库中。不,这方面的安全性不是很好。你不能把它当作密码,你可以加盐和密码。对密码进行哈希处理,但您需要保留原始访问令牌值。这是 OAuth 的基础,您信任应用程序提供商(您)拥有“王国的钥匙”。
Yes, you store the token in your database. No, the security on this is not very good. You can't treat it like a password, you would salt & hash a password but you need to keep the original access token value. This is fundamental to OAuth, you're trusting the app provider (you) with the "keys to the kingdom".
仅当您需要在他们的墙上发布而不是用户自己发布时。如果您需要该功能,这取决于您。
That is only when you need to post on their wall without the user posting it themselves. It's up to you if you need that feature.