Facebook Signed Request Android App

  • 3 Antworten
  • Letztes Antwortdatum
W

wwwwwwwwwwww

Neues Mitglied
1
Hi, ich hole mir in einer Android App einen Facebook Access Token und sende diesen an ein PHP Script. Für diese Verbindung wird HTTPS genutzt. Der Access Token ist also sicher. Jetzt will ich aber sicherstellen, dass der Access Token auch von dieser bestimmten App stammt und nicht von einer anderen, die der Nutzer nutzt.

Ich habe an Signed Request gedacht, aber auf der Seite steht ja, dass das nicht aus einer Android App gemacht werden kann. Oder hab ich das falsch verstanden?

Weiß jemand einen anderen Weg?
 
ein signed_request bekommst du von Facebook zurück, diesen generierst du nicht.

Du kannst dir aber eine eigene Implementierung zur Signierung deiner Daten machen, oder auch eine bestehende z.b. GPG benutzen...
 
TheDarkRose schrieb:
ein signed_request bekommst du von Facebook zurück, diesen generierst du nicht.
Zum Vergrößern anklicken....
Das ist mir klar, ich meinte damit, dass ich das nicht aus einer Android App anfordern kann.

TheDarkRose schrieb:
Du kannst dir aber eine eigene Implementierung zur Signierung deiner Daten machen, oder auch eine bestehende z.b. GPG benutzen...
Zum Vergrößern anklicken....
Das Problem hierbei ist, dass die App mit Java geschrieben ist, was bedeutet, das man sehr einfach an den geheimen Schlüssel käme.

Ich brauche eine Methode, bei der in der App kein Passwort/Schlüssel im Quellcode ist. Am einfachsten für mich wäre es natürlich, wenn ich den Nutzern einfach per Mail ein Passwort schicken würde, aber da Nutzer meist sehr faul sind würde ich das gerne vermeiden.

Also entweder, die Android App muss von Facebook einen Schlüssel (signed_request oder ähnliches) bekommen oder mein Server muss sich mit Hilfe des access_token bei Facebook versichern können, dass der Token von meiner App stammt.
 
Ich bin so langsam am verzweifel. Hat wirklich keiner eine Lösung?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten