свій api сервер + facebook авторизація

[Volodymyrko]

Може хто розяснить толком мені про авторизації при роботі з АПІ:
буде в мене мобільна програмка (андроїд, іос) + сайт,  які мають по АПІ спілкуватися з сервер-ом (django + пробую piston)

все що я вичитав про авторизації:
1. по basic auth (всі юзери зберігається  на моєму апі-сервері )
2. мій сервер може бути як oauth-сервер

Чого хочеться:  щоб люди на телефоні ( чи сайті) авторизовувалися через соц.аккаунти (facebook, можливо ще інші) а не через локальну базу апі-серверу...
На жаль, поки не уявляю як це зробити (пошук в гуглі також не допомагає)..
Зрозуміло що на телеофні нема проблеми зробити авторизацію через соц. мережу.. але як потім розпізнавати "користувача" на апі-сервері ?

[peinguin]

через сесію.

[peinguin]

Чи куку

[crchemist]

> через сесію

Мова йде про автентифікацію користувача на api сервері. Людина логується через мобільну аплікацію на фейсбук. Отримує токен. Далі аплікацію передає той токен на api сервер. Не важливо як - через куку, хідер, квері стринг чи ше якось. Важливо як АПІ серверу розпізнати(автентикіфувати) користувача по тому токену і витягнути потрібного зі своєї БД.

[peinguin]

А там таблиця створюється зв'язуюча. Чи полев таблиці юзер. facebook_identity. Ото по ньому

[crchemist]

> А там таблиця створюється зв'язуюча. Чи полев таблиці юзер. facebook_identity. Ото по ньому
питання не в тому як це звязати. питання в іншому. Що андроїд аплікації потрібно передати апі серверу щоб він впізнав користувача? Аплікація може передати айдішку фейсбучну користувача, але тоді ніякого захисту не буде.

[peinguin]

А якщо в фейсбук в returnurl передавати адресу арі сервера?

[crchemist]

http://framebox.org/cgfZ - ось тут те саме питання але картинкою. (що таке returnurl не знаю)

[peinguin]

Давайте розсудимо логчно?
Що ви можете відправити на сервер?
1) Логін/пароль фейсбук. Звучить так собі
2) Авторизуватися в фейсбук і відіслати facebook identity. Без https несекурно.
3) Отримати з серверу якийсь ID. Потім кроли виконується запит авторизації в фейсбук там така штука робиться, якщо на рнр http://stackoverflow.com/questions/5167157/how-to-set-facebook-return-url.
Ото в цей return-url вбиваєте свій ID що отримали спочатку. І API сервеорр знатиме що це саме ваша фейсбук автизація.

[Volodymyrko]

http://framebox.org/cgfZ - ось тут те саме питання але картинкою. (що таке returnurl не знаю)

послати  https://graph.facebook.com/me?access_token=<отриманий від телефону токен> - так можна дізнатися id фейсбук-користувача .... + збергіати цей токен в базі з привязкою до локального користувача, щоб кожного разу не лізти до фейсбуку.. - недоліком буде зберігааня фейсбучних токенів в себе..
відповідно мобільна аплікація повинна при кожному запиті до апі-серверу слати той токен  (по https ) --- навіть не знаю чи безпечно і розумно це чи ні

[peinguin]

Цей варіант вродь як вже розглядався