Join FlipAndroid.COM Telegram Group: https://t.me/joinchat/F_aqThGkhwcLzmI49vKAiw


¿Cómo puedo autenticar a mis aplicaciones webservice después de usar Facebook SSO en Android?

Estoy creando una aplicación para Android que usa el SSO de Facebook para iniciar sesión y no estoy seguro de cómo autenticarme con mis propios servicios web después de iniciar sesión en FB. Cuando un usuario abre mi aplicación, inicia sesión en Facebook, autoriza algunos privilegios en mi aplicación y continúa en mi aplicación. Esta parte funciona muy bien, pero ahora para usar mi aplicación que necesitan para crear una cuenta en mi servidor y hablar con mi webservices.

En este momento tengo una llamada a un servicio web de autenticación en mi servidor que agrega su ID de Facebook y otra información básica en una base de datos y al mismo tiempo hace un intercambio de claves Diffie-Hellman para que cualquier llamada futura a servicios web pueda ser cifrada por una clave compartida . Pero el problema es que la primera llamada inicial para crear esta cuenta y crear esta clave compartida, ¿cómo puedo autenticar eso? ¿Cómo sé que esta persona es realmente la que acaba de autenticar con Facebook y no sólo alguien que encontró la URL de mi webservice y está creando cuentas y guardar las claves?

  • Compartir en Facebook en android (como twitter)
  • Autoridad del proveedor de contenido de Android Facebook
  • Protección de las claves de twitter en Android
  • Propuesta de participación de Android para facebook- compartir texto y enlace
  • Cómo funciona el cierre de sesión en Facebook SDK Android
  • Cómo resolver Session 'app': error?
  • Manipulación de imágenes JPEG progresivas en Libgdx
  • Ejemplos oficiales de Facebook se bloquean (GraphApiSample)
  • 2 Solutions collect form web for “¿Cómo puedo autenticar a mis aplicaciones webservice después de usar Facebook SSO en Android?”

    Facebook SSO devuelve un token de acceso. Si lo desea, puede pasarlo a su servidor y su servidor puede hacer una llamada a las API de Facebook para comprobar que se trata de un token de acceso válido para ese usuario (por ejemplo, llamando a https://graph.facebook.com/ Me? Access_token = ACCESS_TOKEN ) – si es, eres bueno y verificaste que el usuario es quien dicen ser (o es un hacker con acceso suficiente para tener un token de autenticación válido para tu aplicación para Facebook, en la que Punto su identidad ha sido comprometida en el fin de Facebook).

    Creo que tienes que pasar una contraseña junto con su información básica sobre la creación del perfil. Con todo, el SSO de Facebook solo da a tu aplicación de cliente el derecho de acceder al usuario del perfil, pero no garantiza a tus servicios web que la persona que llama es el propietario real de esta cuenta de FB. Me temo que las llamadas posteriores del cliente de Android al servicio web necesitan ser autenticadas a través de una contraseña de usuario / nombre normal (diferente de la cuenta de FB) si desea estar seguro de que la persona que llama es la que recuperó la clave la primera Tiempo (no importa a qué perfil de Facebook se le puede vincular).

    FlipAndroid es un fan de Google para Android, Todo sobre Android Phones, Android Wear, Android Dev y Aplicaciones para Android Aplicaciones.