Estoy trabajando en una aplicación móvil con un backend web. Nos gustaría que los usuarios se autentiquen (inicien sesión) solo a través de Facebook, por lo que no tenemos que almacenar contraseñas, etc. y no obligamos a los usuarios a crear otra cuenta.
Sin embargo, me cuesta un poco ver cómo funciona esto. En este momento, cada vez que un usuario inicia sesión, Facebook devuelve un token de acceso. Me gustaría usar este token de acceso para asegurarme de que solo este usuario esté tratando de leer / escribir los datos que debería. La aplicación utiliza el backend al emitir solicitudes http (GET, POST, UPDATE y DELETE). Mi corazonada es que me gustaría almacenar este token de acceso en el servidor, hacer que la aplicación incluya el token con cada solicitud y luego comparar los dos.
El solo hecho de enviar el token como un parámetro de URL parece estúpido, ya que sospecho que esto es muy vulnerable a los ataques, ya que cualquier persona que escuche a escondidas tendrá este token y tendrá acceso a todo lo que esté en la aplicación Y en la página de Facebook del usuario.
¿Hay una mejor manera de hacer esto de forma segura? ¿O voy a hacer esto de forma totalmente incorrecta?