[英]How to verify FBInstant.context.getID() on the server side to ensure it is not faked?
我有一个“Facebook Web Games”格式的多人文字游戏,想将它移植到“Instant Games”。
可以使用FBInstant.player.getID();
获取玩家 ID FBInstant.player.getID();
然后我可以在我的游戏后端服务器上调用一个 URL,如下所示:
FBInstant.startGameAsync()
.then(function() {
var playerName = FBInstant.player.getName();
var playerPic = FBInstant.player.getPhoto();
var playerId = FBInstant.player.getID();
$.post("/my/game/backend", { playerID: playerID });
});
但我不明白,如何在我的后端服务器上验证玩家 ID。
如果我不这样做,其他人就可以使用curl
来获取 URL“/my/game/backend”并冒充其他玩家。
必须有某种签名或令牌,可以使用公共秘密将其传递给游戏后端服务器进行验证,但我在Instant Games 文档中还找不到它。
https://developers.facebook.com/docs/games/instant-games/sdk/fbinstant6.3#signedplayerinfo
签名球员信息
代表有关玩家的信息以及签名以验证它确实来自 Facebook。
您需要使用getSignedPlayerInfoAsync
,然后您可以从中获取签名,并将该值发送到您的服务器以在那里进行验证。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.