假设你有一个Facebook应用程序,它使用外部API为用户使用此应用程序获取相关数据。 API需要用户的access_token来检索此相关数据。由于API是一个单独的服务,因此需要提供一个Facebook access_token来检索相关数据(它无法获取登录用户的access_token,因为它运行在一个单独的域上而不是一个用户登录)。
向API提供access_token的一种方法是发出HTTP请求(同步或异步,无关紧要)。
问题是,如果它拦截了这个access_token,有什么人可以做的(因为很明显,它可以在HTTP请求中被截获)?它是以某种方式受到未经授权的使用保护,还是任何人都可以使用它来查询个人想要的Facebook API?