我创建了一个应用和离线访问令牌,因此我可以在我的网站上显示新闻Feed,而无需登录Facebook。我用PHP和JavaScript创建了两个测试版本,运行正常。但我删除了JavaScript版本,因为我担心在客户端脚本中明确声明访问令牌时缺乏安全性。出于安全原因,服务器端是唯一的出路吗?
答案 0 :(得分:0)
我认为从javascript中取出访问令牌是正确的。只要该访问令牌有效 - 即使尚未使用offline_access权限获取 - 它也可用于代表该用户/ app / page执行操作。您只需拨打用户/应用/页面ID就可以轻松获取并使用有效的访问令牌......
我建议您将访问令牌管理留给服务器端脚本。也许做ajax调用定期刷新帖子......