Oauth 2: является ли access_token уникальным ключом для пользователя?

Question

После того, как пользователь соединяется с Facebook , Facebook отвечает access_token.

Могу ли я предположить, что access_token всегда будет оставаться неизменным и уникальным для каждого пользователя?

Если это так, то я могу использовать его, чтобы найти пользователя в моей базе данных, и, если не найден, создать нового пользователя.

Если нет, есть ли способ попросить Facebook также отправить вам обратно user_id (с access_token) сразу после подключения, чтобы мне не пришлось делать еще один запрос к /me?fields=id для этого?

Answer 1

Вы должны использовать их id в качестве уникального идентификатора. access_token уникален, но вы будете получать новый каждый раз, когда запросите его.

Answer 2

OAuth access_token может быть продублирован при выдаче токенов 2+. Он уникален только для эмитента токена (в данном случае, facebook.com). Поскольку токен Facebook достаточно длинный, дубликаты токена будут возникать редко.