Mirki, robię logowanie / rejestrację przez Google i Facebook. Na froncie używam hello.js więc dostaję accesstoken'a do aplikacji stamtąd. Wysyłam sobie tego access tokena na backend i mogę pobrać dzięki temu profil, co za tym idzie emaila, więc zalogować się da.
Ale gdzie tu clientsecret ? Myślałem, że potrzebuję go by zweryfikować że ten token jest dla mojej aplikacji ale chyba nie jest to
Po stronie frontu user dostaje tymczasowy tokenz facebooka. Przesyłasz na backend i tam ponownie weryfikujesz, czy ten tymczasowy token jest prawidłowy (request do facebooka). Jeśli jest ok to znaczy, że dostałeś prawdziwy token i user faktycznie przed chwilą się zalogował (możesz to autoryzować).
Na froncie używam hello.js więc dostaję accesstoken'a do aplikacji stamtąd.
Wysyłam sobie tego access tokena na backend i mogę pobrać dzięki temu profil, co za tym idzie emaila, więc zalogować się da.
Ale gdzie tu clientsecret ? Myślałem, że potrzebuję go by zweryfikować że ten token jest dla mojej aplikacji ale chyba nie jest to