Considera questo scenario
Passaggio1:l'appchiedeall'utentedi"accedere" utilizzando Google o Facebook.
Passaggio 2: una volta autenticato, l'app invia l'ID dell'utente (da Google / Facebook) al Mio App Server richiesto ai dati specifici dell'app
Domanda
- Poiché l'autenticazione avviene esclusivamente a livello di client (iOS / Android), non è possibile per il mio server sapere se l'utente è un utente di Google o Facebook valido.
- La ragione è che sul server se qualcuno conosce l'API, possono facilmente giocare con il sistema.
Come gestisco tali scenari per assicurarmi che il server abbia fiducia sui dati utente provenienti da Google / Facebook?
P.S: Sto costruendo un'applicazione mobile per la prima volta e questa domanda potrebbe essere stupida, ma non so come lavorare con una situazione del genere.