Server back-end mobile: come convalidare il client autenticato è valido?

2

Considera questo scenario

Passaggio1:l'appchiedeall'utentedi"accedere" utilizzando Google o Facebook.
Passaggio 2: una volta autenticato, l'app invia l'ID dell'utente (da Google / Facebook) al Mio App Server richiesto ai dati specifici dell'app

Domanda

  1. Poiché l'autenticazione avviene esclusivamente a livello di client (iOS / Android), non è possibile per il mio server sapere se l'utente è un utente di Google o Facebook valido.
  2. La ragione è che sul server se qualcuno conosce l'API, possono facilmente giocare con il sistema.

Come gestisco tali scenari per assicurarmi che il server abbia fiducia sui dati utente provenienti da Google / Facebook?

P.S: Sto costruendo un'applicazione mobile per la prima volta e questa domanda potrebbe essere stupida, ma non so come lavorare con una situazione del genere.

    
posta daydreamer 08.07.2014 - 15:05
fonte

0 risposte

Leggi altre domande sui tag