我使用GET网址从页面中提取Facebook相册列表,如下所示:
https://graph.facebook.com/<page-id>/albums?access_token=<app-id>|<app-secret>
即使该页面是公开的,显然您必须提供access_token来提取内容。所以,我的问题是,通过在浏览器中公开显示应用程序ID和密钥,这是一个巨大的安全漏洞吗?我使用的是JavaScript,所以我担心有人可能只是抓住应用ID和密钥,然后用它来向帐户发送垃圾邮件。那可能吗?或者我忘记了为了使用API实际编写而必须采取的另一个安全步骤?
答案 0 :(得分:0)
您不应该在客户端代码中公开令牌(不是用户自己的访问令牌)。每个人都可以从那里阅读,并滥用它们。应用访问令牌允许更改大量应用设置,以及在应用名称中执行其他操作。
您需要查看用户登录您的应用,以便您可以使用他们的个人访问令牌;或者您需要将此代码移动到服务器端。