如何在服务器端验证 FBInstant.context.getID() 以确保它不是伪造的?
[英]How to verify FBInstant.context.getID() on the server side to ensure it is not faked?
问题描述
我有一个“Facebook Web Games”格式的多人文字游戏,想将它移植到“Instant Games”。
可以使用FBInstant.player.getID();获取玩家 ID FBInstant.player.getID(); 然后我可以在我的游戏后端服务器上调用一个 URL,如下所示:
FBInstant.startGameAsync()
.then(function() {
var playerName = FBInstant.player.getName();
var playerPic = FBInstant.player.getPhoto();
var playerId = FBInstant.player.getID();
$.post("/my/game/backend", { playerID: playerID });
});
但我不明白,如何在我的后端服务器上验证玩家 ID。
如果我不这样做,其他人就可以使用curl来获取 URL“/my/game/backend”并冒充其他玩家。
必须有某种签名或令牌,可以使用公共秘密将其传递给游戏后端服务器进行验证,但我在Instant Games 文档中还找不到它。
1 个解决方案
解决方案1
1 已采纳 2020-08-27 06:46:31
https://developers.facebook.com/docs/games/instant-games/sdk/fbinstant6.3#signedplayerinfo
签名球员信息
代表有关玩家的信息以及签名以验证它确实来自 Facebook。
您需要使用getSignedPlayerInfoAsync ,然后您可以从中获取签名,并将该值发送到您的服务器以在那里进行验证。
如何在服务器端(Node.js)以编程方式验证Facebook用户的访问令牌?
[英]How to verify a Facebook user's access token programmatically on the server-side (Node.js)?
如何使用客户端javascript SDK接收的FB访问令牌在服务器上验证电子邮件和名称
[英]How to verify email and name on a server using FB access token received by javascript SDK on a client side
在Facebook即时游戏中如何以及在哪里使用FBInstant.updateAsync
[英]How and where to use FBInstant.updateAsync in facebook instant game
确保客户端已赋予某些权限而不撤销它们的服务器端方法?
[英]Server-side way to ensure that client has given certain permissions and not revoked them?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.