Sto pensando di utilizzare l'autenticazione di Facebook per il mio sito web
window.fbAsyncInit = function() {
FB.init({
appId: 'APPID',
cookie : true,
xfbml : true,
version : 'v2.2' // use version 2.2
});
Questo inizializzerà l'autenticazione di Facebook e al termine di esso, ci sarà un token di autenticazione di Facebook emesso che sarà memorizzato in un cookie fbsr_APPID. Ora ogni volta che l'utente effettua una richiesta al server, sarò in grado di ottenere il cookie utilizzando il contesto che accompagna la richiesta. Quindi controllo il cookie fbsr_APPID e ottengo i dettagli dell'utente come menzionato qui
fondamentalmente il modello di autenticazione che ho pensato è
1. Client secures authentcation token from facebook oauth
2. Client sends request to server for crud operatins
3. Server checks if the facebook authentication token is valid and gets user details from it
4. If the token is valid server performs CRUD operations and returns results
Ora questo modello è abbastanza sicuro? (sia per l'hosting https che per l'hosting http)
Quali sono i modi in cui questo può essere violato?