Почему FB.getLoginStatus или FB.login возвращают токен доступа и подписали запрос?

Question

FB.getLoginStatusaccess token и signed request. Я передал их на серверную сторону, где я расшифровал signed request, получил code и воспользовался последним - запросил Facebook для access token.

Оба токена доступа и их срок годности одинаковы.

Зачем мне обоим? Должен ли я использовать это как-то как функцию безопасности, сравнивая эти два?

Answer 1

Они являются избыточными, всего двумя видами одних и тех же данных. Нет смысла сравнивать их. Если вы хотите быть наиболее безопасным, проверьте подписанный запрос и выбросите весь набор данных, если он недействителен.

Лично я рекомендую использовать cookie fbsr_APPID вместо того, чтобы вручную передавать подписанный запрос. Это немного страннее, чем люди, которые пытаются сориентироваться в вашем приложении.