Я хочу, чтобы пользователи могли входить на мой сайт, используя свой идентификатор Facebook, без перезагрузки страницы. Вот почему я использую Facebook Javascript SDK. Эта схема описывает процесс авторизации с помощью этого SDK:
В конце процесса я знаю, что пользователь вошел в систему, и я знаю его идентификатор Facebook. Затем я могу зарегистрировать их в своей базе данных с помощью этого идентификатора и позволить им впоследствии использовать его для входа в систему.
Однако это кажется ужасно небезопасным. Чтобы мой серверный скрипт знал идентификатор пользователя, я должен отправить его через AJAX. Однако у меня нет возможности узнать, пытается ли войти в систему владелец идентификатора. Любой может отправить запрос POST с идентификатором (особенно если он получает идентификатор другого пользователя).
Моя текущая идея состоит в том, чтобы позволить пользователю войти через JS SDK, как обычно, отправить идентификатор и токен доступа через AJAX на сервер, а затем использовать cURL в скрипте PHP, чтобы убедиться, что пользователь действительно вошел в систему.
Это правильный путь, или я упускаю из виду лучшие альтернативы?