如果我的网络应用程序的后端具有用户的长期访问令牌,我是否可以使用它来创建一个短期访问令牌以传递给客户端(网页)以使其与Facebook API交互?
更好的是,即使我服务器上的长期访问令牌拥有更多权限,我是否可以创建一个既短暂但范围有限的内容(例如只有user_photos范围)?
答案 0 :(得分:0)
一种选择是使用我的服务器的长期访问令牌来创建一个新的长期访问令牌,并按照this API flow传递给页面上的JavaScript。
它会起作用,但我不喜欢分发具有完全权限的长寿令牌。
答案 1 :(得分:0)
一种选择是为登录用户代理Facebook API。我会在我们的网站上使用您存储的长期访问令牌来调用Facebook。
从安全角度来看,这种方法有效并且听起来不错,但它的工作量更大,而且灵活性很小。