Facebook访问令牌-如何正确保护它?

时间:2019-06-10 16:07:04

标签: facebook facebook-graph-api access-token facebook-access-token

我有一个疑问。这不是一个纯粹的编程问题,但我对此感到困惑。
为了通过facebook graph API访问数据,facebook发布了不同类型的访问令牌:用户令牌,页面令牌,应用程序令牌和客户端令牌。

根据documentation,将令牌直接插入代码中不是一个好选择,因为任何人都可以通过对应用程序进行反向工程来获得令牌。他们的建议是将其存储在服务器上的某个位置,让它调用特定的端点。如果应用程序提供身份验证机制,则这是一个好主意。在我的情况下,我的应用程序不要求提供凭据,因为客户端只能显示特定页面的某些事件(它们不能编写,发布或执行其他类似的操作),因此我可以获取令牌来调用某些终结点,但终结点打开(没有身份验证)!因此,我认为将令牌隐藏在服务器上没有任何意义。

也许我错了,我问这个问题是因为经过一些研究,我发现人们在png图像中隐藏了令牌,他们认为混淆代码就足够了。其他人说,获取令牌的更好解决方案是调用服务器,但正如我所说,我在这里没有auth机制。

我知道这个问题在SO准则中是有限的,但是我希望它可以成为像我这样自问这个问题并努力寻找最终答案的人们的一个很好的参考。

感谢您的关注。

接受的答案: @WizKid

  

否,您不能拥有用户拨打电话的端点。这页纸   访问令牌无法离开您的服务器。如果您将其发送给用户   电话,用户可以访问它,并且他们可以将其用于   坏的东西。因此,您需要做的是让用户调用您的服务器   获取数据。并且您的服务器使用页面访问令牌来获取   图API中的数据,然后将信息转发给用户   电话。

0 个答案:

没有答案