我正在使用Javascript SDK进行Facebook应用,a certain API call我要制作,需要app access token。但是,the documentation声明:
应用程序访问令牌永远不应硬编码到客户端代码中, 这样做会给每个加载您网页或反编译的人 您的应用完全访问您的应用秘密,因此能够 修改你的应用。这意味着大多数时候,您将使用 app仅在服务器到服务器的调用中访问令牌。
和
请注意,因为此请求使用您的应用秘密,所以绝对不能 在客户端代码或可以反编译的应用程序二进制文件中。 重要的是,您的应用秘密永远不会与任何人分享。 因此,只应使用服务器端代码进行此API调用。
重点甚至不是我的! 那么,如果我只应该在服务器端进行这些调用,我应该如何使用JS SDK进行需要app访问令牌的API调用呢?
答案 0 :(得分:1)
简短的回答是:你不应该!正如亚当所写,如果你暴露你的应用程序访问令牌,有人可以从源代码中获取它并用它做任何他想做的事情!这是一个安全问题......