Как правильно заменить серверную аутентификацию имени пользователя / пароля и вместо этого аутентифицировать пользователя с помощью токена OAuth (из входа в Facebook)? Я новичок в OAuth и обычно использую системы на основе паролей, поэтому помощь приветствуется.
План такой:
1) Пользователь заходит на мой сайт и нажимает кнопку «Войти через Facebook», авторизируется
2) Мой сайт получал бы токен OAuth + электронное письмо пользователя от FB и отправлял его на мой сервер, который создавал учетную запись (Имя пользователя = электронная почта пользователя FB, пароль = токен OAuth), а электронный адрес / токен также сохранялся в localStorage для пользователя
3) Когда пользователь возвращается на сайт, он пытается войти на мой сервер с сохраненной электронной почтой localStorage (имя пользователя) и токеном (пароль).
Как проверить, что токен действителен со стороны сервера FB при входе в систему (чтобы доказать, что пользователь контролирует эту электронную почту)? Кроме того, является ли хорошей идеей использовать первый полученный токен в качестве пароля или он может измениться при последующих входах в систему, например, из другого браузера? Если он изменится, мне нужно будет проверять токен при каждом входе в систему, верно?
Спасибо за любой совет, STAN