Есть много учебных пособий для социальной реализации, но все они кажутся устаревшими. Я хочу убедиться, что у того, что я реализовал, нет никаких замечаний по безопасности.
Вот моя реализация:
Интерфейс включен в React, поэтому я использую пакеты react-facebook-login и react-google-login. Он заботится о перенаправлении, получении разрешений пользователя, и в случае успеха я возвращаю данные пользователя с помощью accessToken / tokenId.
Логин Facebook:
Значение accessToken передается бэкэнду, и с бэкэнд-сервера вызывается https://graph.facebook.com/me. Этот API-интерфейс возвращает данные пользователя, что подтверждает мою аутентификацию веб-интерфейса.
логин Google:
Значение tokenId передается бэкэнду, и с бэкэнд-сервера вызывается https://oauth2.googleapis.com/tokeninfo. Этот вызов API возвращает данные пользователя, которые подтвердили мою аутентификацию веб-интерфейса.
Это правильный способ реализации oAuth для Facebook и Google?
Видите ли вы какие-либо проблемы с этим подходом?
Есть ли лучший способ реализовать это?