假设您构建了一个使用Facebook登录的原生android应用程序。首先,你必须构建一个Facebook应用程序,并配置你的android应用程序的包名、类名、密钥哈希。我认为应用程序的真实性是通过这个密钥哈希来验证的。但问题是,当我们在Facebook应用程序中配置此密钥后,我们在进行API调用时,从未在移动应用程序中对其进行配置或将其发送到Facebook。那么,Facebook如何验证这是进行API调用的原始应用程序?
无论何时将应用程序放到设备上(无论是通过eclipse/InIntelliJ还是通过构建.apk),都是在用密钥对其进行签名。当您使用SSO通过Facebook登录时,本地Facebook应用程序可以获得调用应用程序的签名,并将其传递给服务器进行验证。