Как я могу (ReSTfully) убедиться, что пользователь, вошедший через Facebook в мое мобильное приложение (с помощью Facebook Graph), действительно является им?

Question

У пользователя будет свой токен доступа, в том случае, если этот токен доступа будет украден и помещен на другое устройство, этот пользователь получит доступ к учетной записи этого пользователя. Как я могу предотвратить это и быть более безопасным с аутентификацией?

Пользователь будет выполнять вызовы API через API ReST.

Спасибо!

Answer 1

Одна идея, которая приходит в голову, - это быть осторожным с доступом (через токен) с нового IP-адреса. Вы можете отслеживать IP-адрес, с которого был использован токен. Если есть попытка использовать токен с нового IP-адреса, отправьте пользователю электронное письмо с просьбой подтвердить, что этот доступ разрешен путем нажатия на ссылку. В качестве альтернативы вы можете потребовать от пользователя ввести пароль при использовании токена доступа с нового компьютера.

Надеюсь, вы найдете это полезным. С наилучшими пожеланиями:)