Я создаю приложение для Android, которое использует SSO для входа в систему, и я не уверен, как аутентифицироваться с помощью своих собственных веб-сервисов после входа в FB. Когда пользователь сначала открывает мое приложение, они заходят в Facebook, разрешают моему приложению некоторые привилегии и продолжают работать в моем приложении. Эта часть отлично работает, но теперь для использования моего приложения им необходимо создать учетную запись на моем сервере и поговорить с моими веб-службами.
Сейчас у меня есть вызов аутентифицировать webservice на моем сервере, который добавляет их идентификатор Facebook и другую базовую информацию в базу данных и в то же время выполняет обмен ключами Diffie-Hellman, поэтому любые будущие вызовы веб-сервисов могут быть зашифрованы общий ключ. Но проблема в том, что самый первый первоначальный вызов для создания этой учетной записи и создания этого общего ключа, как мне аутентифицировать это? Как я узнаю, что этот человек действительно тот, кто просто аутентифицирован с помощью Facebook, а не только тот, кто нашел URL-адрес моего веб-сервиса и создает учетные записи и сохраняет ключи?