根据此处的文件(http://developers.facebook.com/docs/authentication/)。永远不应该分享您的应用秘密:
应用程序密码可从开发者应用程序获得,不应该 与任何人共享或嵌入您将分发的任何代码中 (您应该在这些场景中使用客户端流程。)
为什么呢?如果是意外或以其他方式公开分享,是否可以利用它?
如果发生这种情况,我应该担心什么?有什么人可以处理这些信息?
我认为我选择的网站网址是否会被认为是身份验证过程的一部分?
由于
答案 0 :(得分:4)
画布URL不用于验证对Facebook API的请求。恶意用户可以编写自己的应用程序,使用您的应用程序密钥来获取具有应用程序安全权限的会话。这样攻击者就可以窃取用户授权您的应用访问的所有数据,并执行用户授权您的应用执行的所有操作(挂帖等)。