我正计划将Facebook共享添加到我的网站中,我需要以下信息来共享我的东西:
// Facebook information
export const FACEBOOK = {
"appId": "xxxxxxxxxxxxxx",
"verison": "v2.8",
"baseUrl": "http://www.facebook.com/sharer.php?s=100&p[title]=",
"sdkLink": "//connect.facebook.net/en_US/sdk.js"
};
我已经有了这些,并且一切正常。 唯一的问题是我将它们放在前端的Java脚本代码中,并且担心是否会引起任何安全问题。 appId唯一需要确保其安全性,但需要从后端发送回去,需要付出一些努力。知道其他开发人员通常会做什么吗?他们在前端使用它吗?
答案 0 :(得分:1)
应用程序ID可以很好地在客户端代码中发布。当然,应用程序秘密必须保密,正如名称告诉您的那样。任何应用程序/用户/页面令牌也需要保密,您永远都不能在客户端代码中对它们进行硬编码。
答案 1 :(得分:1)
请注意,“应用程序秘密”是您不得在前端使用的内容。它充当用于后端服务与服务交互的密钥。最好不时旋转“应用程序秘密”。
在前端使用AppID完全可以。对于所有Web API都是如此。但是,您有机会通过控制台来保护和强化API。
通过提供您希望与应用程序进行通信的域名白名单,可以帮助您保护API使用的安全性将得到加强。这样可以避免其他任何人在自己的网站上复制和粘贴您的App ID,并避免劫持您的Application API的某些功能。
我建议您看看并阅读Facebook Developers Doc的“安全性”部分: https://developers.facebook.com/docs/facebook-login/security#surfacearea