以下是Facebook提供给使用Facebook connect的网站的cookie。

它发出一个名称为fbs____<appID>_____的cookie,并且可以使用&字符进行拆分:(数字已更改,但是格式相似)

Array
(
    [0] => "access_token=32480239450325|2.39F_lt3098asddASDL__.3600.1287892800-123456789|H9348aKljsakasd
    [1] => base_domain=www.example.com
    [2] => expires=1287892800
    [3] => secret=032480XYZ023489__
    [4] => session_key=2.39F_lt3098asddASDL__.3600.1287892800-123456789
    [5] => sig=8023948acbd43243
    [6] => uid=123456789"
)


32480239450325是appID。

我以为如果将MD5或SHA1以及具有我们应用程序密钥的uid与uid一起使用,则可以验证它等于access_token的第二部分或最后一部分,并确认它是有效的access_key和用户。

那么为什么我们需要session_keysecretsig?实际上,session_keyaccess_token的一部分,那么为什么要重复它...?

最佳答案

支持可能仍在使用旧的fb_sig参数的旧版应用程序

09-16 16:30