He desarrollado mi propia autorización de autorización personalizada.
Los pasos que estoy realizando son los siguientes:
- Obtengo el código de autorización de Facebook del dispositivo móvil (esta es una API para dispositivos móviles)
- Intercambio el código de autenticación para un token de acceso de Facebook usando curl. Guardo el token de acceso en la base de datos y lo asocio con un usuario que creé usando los datos de facebook (api ('/ me'))
- Devuelvo el token de acceso al dispositivo móvil
- El dispositivo móvil realiza una solicitud POST a mi punto final que proporciona el token de acceso. En esta etapa, tomo el token de acceso del formulario, lo validé como una cadena, lo inspeccioné utilizando la API de gráfico de Facebook (con curl) para asegurarme de que la identificación de la aplicación y la identificación del usuario coincidan y luego las busque en mi base de datos. Si existe una fila, compruebo si el correo electrónico del usuario asociado coincide con el correo electrónico proporcionado en los datos POST junto con el token. Si coincide, devuelvo el user_id y genero mi token específico de la aplicación usando auth.
Todo esto se hace en un entorno HTTPS.
¿Se considera que esto es seguro?
EDIT : terminé usando este paquete para Laravel. Todavía necesito crear un usuario con los datos de Facebook en mi base de datos, pero la parte de autenticación ahora es manejada por el paquete.