«Войти через Facebook» + собственный API — для приложения iOS ⇐ IOS

[Anonymous]

Предположим, у меня есть приложение для iOS, которое использует собственный REST API для таких задач, как управление учетной записью (регистрация, вход в систему, сброс пароля, получение/установка пользовательских данных).
Допустим, я хотел бы добавить кнопку «Войти/зарегистрироваться в Facebook», чтобы нашему пользователю не приходилось заполнять скучную регистрационную форму.
Моя база данных по-прежнему будет содержать этих пользователей но у них не было бы имя пользователя/хеш-пароль/электронная почта, они будут связаны только с «идентификатором пользователя Facebook», возвращаемым Facebook iOS SDK после входа в Facebook в приложении.
Поэтому мой API будет иметь вызов, например:
http://www.myapi.com/create_user_with_f ... r_id=XXXXX
(ОК, не совсем, это бы не это будет GET, и т. д., но вы поняли мою точку зрения)
Что меня беспокоит, так это то, что любой сможет вызвать этот API и создать учетную запись такого типа с любым общедоступным идентификатором пользователя Facebook, даже они им не принадлежат. Никакие данные не будут в опасности или что-то в этом роде, но когда законный владелец этой учетной записи Facebook попытается использовать приложение, приложение скажет: «НЕТ, извините, эта учетная запись Facebook появится». уже быть связанным с существующей учетной записью приложения!'
У меня нет идея, как защитить нашу платформу от такого рода «атак».
(API все равно позволит зарегистрировать учетную запись традиционным способом или синхронизировать существующую учетную запись с учетной записью Facebook - как это происходит в наши дни это часто встречается во многих приложениях)
Буду очень признателен за любую помощь в выборе направления, в котором мне следует двигаться для решения этой проблемы!

Подробнее здесь: https://stackoverflow.com/questions/252 ... or-ios-app