Überprüfen ob Nachricht von App an Server von bestimmtem Facebook Account stammt

[Dark Blood Studios]

Hi, ich will, dass über eine App die das Facebook Android SDK nutzt auf meinen Server zugegriffen werden kann und der Server überprüft ob die Nachricht wirklich von dem betreffenden Facebook Account kommt.

Gibt es da eine Möglichkeit?

Ich dachte zuerst daran, dass die App etwas auf der Pinnwand des Facebooknutzers postet und der Server die Facebookseite des Nutzers aufruft und überprüft ob der entsprechende Eintrag vorhanden ist. Aber falls der User sein Profil auf privat gestellt hat geht das ja nicht.

Oder kann ich das Java-Script SDK nutzen und in der App dieses Script auf dem Server aufrufen und so überprüfen dass die Nachricht von dem Facebooknutzer kommt?

 

[TheDarkRose]

Um was für eine Nachrichten handelt es sich? Facebook selbst schummelt nicht mit dem Absender.

Um auf die Pinnwand eines Nutzers zu posten brauchst du die entsprechende Permission, genauso um seine Pinnwand zu lesen.

 

[Dark Blood Studios]

Du hast mich glaube ich falsch verstanden. Ich will nichts in Facebook posten. Ich will, dass der Nutzer über meine App etwas an meinen Server schicken kann und dieser überprüfen kann, ob diese Nachricht von dem entsprechenden Facebooknutzer kommt (FacebookID wird bei in der Nachricht mit geschickt).

 

[TheDarkRose]

Also der Nutzer authentifiziert sich mit dem Facebook Login in deiner App? Dann hast du eh den access_token, mit dem du denn Nutzer identifizieren kannst. https://graph.facebook.com/me?access_token=

 

[Dark Blood Studios]

Kann ich denn also an meinen Server schicken und der schickt ihn dann an Facebook und überprüft so den User?

 

[TheDarkRose]

Theoretisch könntest du den access_token mit an den Server übertragen und somit den User überprüfen, ja.

 

[Dark Blood Studios]

Weist du ob man einen Access Token ohne Berechtigungen erstellen kann? Also einer der wirklich nur der Identitätsprüfung dient.

Ist es nicht relativ unsicher den Access Token einfach so an den Server zu schicken?

 

[TheDarkRose]

Ja kann man, einfach ohne permissions den acces_token anfragen
https://developers.facebook.com/tools/explorer

 

[Dark Blood Studios]

Aber mit dem kann man trotzdem Sachen posten. Ich hätte am liebsten einen der wirklich gar nichts kann.

 

[TheDarkRose]

Nein, ein acces_token ohne permissions kann keine Sachen posten.

 

[Dark Blood Studios]

Also wenn ich den Graph API Explorer aufrufe und auf "Get Access Token" klicke sind bestimmte permissions angehakt und grau hinterlegt, so dass ich sie nicht weg machen kann. Und da ist z.B. publish_actions dabei.

 

[TheDarkRose]

ja, weil du die dem Graph Explorer schon mal erlaubt hast. Unglückliches Tool. Entferne in den Kontoeinstellungen unter Anwendungen den Graph API Explorer mal und du kannst dann alles wieder auswählen oder nicht.

 

[Dark Blood Studios]

Auch wenn ich die App gelöscht habe sind die folgenden Felder immer aktiviert:
publish_actions
photo_upload
status_update
share_item
create_note
publish_stream
video_upload

EDIT: Wenn ich die App dann wieder zulasse sind folgende Felder zusätzlich aktiv:
user_birthday
user_games_activity

 

[TheDarkRose]

Hmm, ich hab das bevor ich den vorherigen Post gesendet habe, selbst ausprobiert und bei mir war anschließend nichts aktiv.

Gesendet von meinem GT-I9000 mit Tapatalk 2