인터페이스: SignedASID
페이스북에서 온 것임을 확인하기 위한 서명과 함께 현재 플레이어의 애플리케이션 범위의 사용자 ID를 나타냅니다.
목차
속성
속성
asid
• asid: string
플레이어 ID.
signature
• signature: string
이 객체가 페이스북에서 온 것임을 확인하기 위한 서명. 이 문자열은 base64url로 인코딩되며, OAuth 2.0 사양에 기반한 App Secret의 HMAC 버전으로 서명됩니다.
다음 4단계로 검증할 수 있습니다:
- 서명을 '. (쉼표)로 구분하여 두 부분으로 나눈다.
- 분리된 첫 번째 부분(인코딩된 서명)을 base64url 인코딩으로 디코딩한다.
- 두 번째 부분(응답 페이로드)을 base64url 인코딩으로 디코딩한다. 이 부분은 다음과 같은 필드를 가진 JSON 객체의 문자열 표현이어야 한다: algorithm - 일명 HMAC-SHA256, issued_at - 이 응답이 발행된 UNIX 타임스탬프. asid - 플레이어의 App-Scoped User ID.
- 응답 페이로드의 전체 문자열을 HMAC SHA-256과 App Secret을 사용하여 해시하여 인코딩된 서명과 일치하는지 확인한다.
- 또한, 응답 페이로드의 issued_at 타임스탬프를 확인하여 요청이 최근에 이루어진 것임을 확인하는 것이 좋다.
서명 검증은 서버에서 수행해야 한다. 시크릿 키가 외부로 유출되지 않도록 주의해야 하므로 클라이언트 측에서는 절대 수행해서는 안 된다.