php – Facebook登录作为现有登录的补充？

>是的Oauth非常安全.许多应用程序依赖它,并且没有已知的方法来利用它.
>你可以这样做的一种方法是存储用户的Facebook ID,这样当他们回来时你可以看到他们的id已经存在于你的记录中并且知道它是一个返回的用户.他们的会话可能不同(例如,自上次访问以来已过期),因此您不希望存储其访问令牌;但他们的Facebook用户ID总是一样的.

我如何基本上在我的网站上集成Facebook注册/登录是我在我的用户表中添加了一个facebook_id列和一个“注册Facebook”按钮.如果用户点击,使用Facebook进行身份验证并且我恢复了会话并且用户是新的,我会重定向到注册页面,使用来自Facebook的数据(如他们的名字)预填充尽可能多的字段,并将Facebook ID添加为隐藏的输入字段.因此,当他们注册时,他们的facebook_id将填入数据库.这是与标准页面相同的注册页面,因此与非Facebook用户的唯一区别是facebook_id字段将为空.如果需要,您也可以不要求Facebook用户使用密码.

对于用户登录,用户只需单击“使用Facebook登录”按钮并通过Facebook进行身份验证.一旦Facebook给我会话,我就会将用户登录为任何用户拥有facebook_id作为Facebook会话中的用户.由于您担心安全问题,我会注意到此会话无法伪造,因为它是使用只有您和Facebook知道的应用程序密钥签名的.如果你使用Facebook的SDK(你应该),你不必担心签名和签名验证.您可以从会话中读取连贯的信息,这意味着Facebook的SDK已对其进行了验证.

This Facebook page是整合Facebook注册的好指南.