如果我有一个用户可以从前端连接到Facebook的应用程序,可以将访问令牌发送到后端吗?
如果存在安全风险,那是什么?
答案 0 :(得分:1)
是的,可以。 您只应在后端验证令牌。 Facebook为此有一个特殊的终结点-https://developers.facebook.com/docs/facebook-login/manually-build-a-login-flow#checktoken
答案 1 :(得分:0)
事实上,您可以将长期访问令牌发送到服务器,这样就不必每次都要求用户向Facebook进行身份验证。
需要考虑的是使数据库在服务器中的静止状态下保持加密状态,以使令牌不被泄露。还可以考虑仅将其发送到具有https的服务器,以便不会从客户端以明文形式发送数据