Desidero consentire agli utenti di accedere al mio sito Web utilizzando il loro ID Facebook senza ricaricare la pagina. Questo è il motivo per cui utilizzo Facebook Javascript SDK. Questo schema descrive il flusso di autorizzazione con questo SDK: Come autorizzare in modo sicuro un utente tramite l'SDK Javascript di Facebook
Al termine del processo so che l'utente è loggato e conosco il loro ID di Facebook. Posso quindi registrarli nel mio database tramite questo ID e lasciarli utilizzare per accedere in seguito.
Tuttavia, questo sembra terribilmente insicuro. Per consentire al mio script sul lato server di conoscere l'ID dell'utente, devo inviarlo tramite AJAX. Tuttavia, non ho modo di sapere se si tratta del proprietario dell'ID che sta tentando di accedere. Chiunque può inviare la richiesta POST con un ID (in particolare uno si impossessa dell'ID di un altro utente).
La mia idea attuale è quella di permettere all'utente di accedere tramite JS SDK, come al solito, inviare l'ID e token di accesso tramite la tecnologia AJAX al server e quindi utilizzare cURL nello script PHP per assicurare che l'utente sia effettivamente connesso.
È questa la strada da percorrere, o sto trascurando alternative migliori?
Perché non combini semplicemente javascript-sdk con php-sdk perché sembra che tu stia utilizzando php come lingua lato server in ogni caso – TommyBs