Я создаю приложение для Facebook. Facebook отображает представление приложения в iframe и дает ему signed_request в параметре POST.Безопасно ли подписано?
Если кто-то получил строку signed_request другого, он может отправить ее в приложение.
curl -F "signed_request=CCuTU8c2…NjMwOTMxIn0" https://app.mydomain.xx/
Подписанный_request является зарегистрированным пользователем. С другой стороны, приложение принимает данные, которые не закалены.
Должны ли приложения Facebook проверять что-то для этого? Например, значение issu_at. Интересно, как обращаться с signed_request. PHP SDK от PHP устанавливает его в файл cookie. Все нормально?
Спасибо! и я сожалею о своем медленном ответе. Мои коллеги также сказали мне, что я слишком переживаю. – Shinya