我目前正在开发python中的服务器,用于与facebook集成的移动应用程序。移动应用程序向我发送用户的facebook访问令牌。是否足够安全,只检查此令牌是否属于我的Facebook应用程序(来自令牌的应用程序ID与我的应用程序ID匹配)还是应该实现一些更高级的授权/安全形式?
这是我的第一个facebook集成应用程序,很抱歉这个基本问题。
答案 0 :(得分:1)
您可以在应用设置中启用App Secret Proof,并将appsecret_proof
参数添加到服务器上的每个呼叫:https://developers.facebook.com/docs/graph-api/securing-requests
之后,每个调用都必须添加该参数,并且因为它是使用App Secret生成的(仅在服务器上使用),所以它应该非常安全。