我想反过来说明这里所描述的内容:Can I use oauth token at client side?
我正在构建一项服务,在超链接上执行Facebook Graph API查找。事实上,Facebook Graph API总是需要OAuth令牌来查找任何内容。
让客户将OAuth令牌传递给我的服务是否有任何问题,以便我可以代表他们点击Facebook Graph API? (我与客户端的连接将通过HTTPS进行此操作。)
答案 0 :(得分:2)
Google不建议这样做,但有here所述的混合方法。
要充分利用Google+登录的所有优势,您必须这样做 使用混合服务器端流程,用户在其上授权您的应用程序 客户端使用JavaScript API客户端并发送一个特殊的 一次性授权代码到您的服务器。你的服务器交换它 一次性使用代码来获取自己的访问权限并刷新令牌 谷歌为服务器能够进行自己的API调用,这可以 在用户离线时完成。这个一次性代码流有 纯服务器端流和过度发送的安全优势 访问您的服务器的令牌。