客户端欺骗与您无关。如果要基于FB身份验证显示FB内容，则FB负责该过程的完整性。 如果您使用的是此信息服务器端，那么（据我所知）您需要遵循不可假冒的OAuth 2.0流程，因为您将直接进入FB进行身份验证。 您不能混合使用这两种流，因为这样会使自己容易受到攻击。 并回答另一个问题，是的，您应该将数据库链接到UID，因为access_token将会更改。     ,        您可以使用fb js sdk验证fb访问令牌。因此，您可以将fb-uid用作保存。您从fb获得的令牌仅在有限的时间内有效，因此您不应保存它们。 更新： 关于fb-uid的保存：您的PHP脚本从facebook获得签名请求。该请求已使用您的应用程序的秘密签名，因此其他任何人都无法读取该数据。该请求包含当前用户的fb会话（包括uid）和访问令牌。