我不确定如何将用户的fb令牌从他的客户端发送到我的服务器。我目前的做法如下:
app.get("/api/:token")获取服务器上的令牌然而,这看起来并不安全,因为当我重定向用户时,他的令牌在浏览器上清晰可见,任何人都可以尝试猜测令牌以冒充其他用户。
问题:如何安全地将用户的fb令牌从客户端发送到我的服务器?我应该使用ajax帖子吗?
感谢您的帮助! :d
答案 0 :(得分:2)
不用担心,您可以使用appsecret_proof保护图表API请求:
curl \
-F 'access_token=<access_token>' \
-F 'appsecret_proof=<app secret proof>' \
-F 'batch=[{"method":"GET", "relative_url":"me"},{"method":"GET", "relative_url":"me/friends?limit=50"}]' \
https://graph.facebook.com
答案 1 :(得分:0)
当您从客户端将密码和用户名发布到服务器时,会出现同样的问题。你有的选择是