0
我制作了一个自定义的ajax脚本来解析从facebook图形API提要返回的JSON。Facebook Graph API的access_token有哪些安全威胁?
我已经知道如何面对,该访问令牌到期,所以为了得到另一个我能为
https://graph.facebook.com/oauth/access_token?grant_type=client_credentials&client_id=APP_ID&client_secret=APP_SECURITY
一个请求,其中APP_ID为应用程序ID和APP_SECURITY是应用安全的事实值与我的Facebook应用程序开发帐户注册。
但是我很担心,因为我通过ajax发出这些请求,因此任何具有基本chrome/firebug知识的人都可以访问我的app_id,app_security和access_token变量(从现在开始称为'变量')我的JavaScript文件。
我不确定哪些用户可以做这种信息?
访问令牌是否纯粹提供了我的Facebook页面的只读JSON输出?或者可以将这些信息用于更恶意的目的?
现在:之前有人回复说我应该使用php来获取JSON和解析等......我不能,因为客户的要求是使用ajax,因为显而易见的异步好处。
如果这些变量不会对我的Facebook帐户构成威胁,并且只能用于只读目的,那么我将继续使用我的编程!
但是,如果他们必须保持安全...我怎样才能安全地将变量传递给JavaScript以保持变量隐藏?
PS。我已经有预写的PHP脚本来获得变量。只是一个方法之后,保持传递给JavaScript的时候把它们固定(如有必要)
感谢
亚历
不要这样做。他们不应该公开可见。即使是文档告诉你这一点。有了您的应用ID和秘密,我可以假装成您的应用,并根据我获得的权限执行我想要的任何操作,而且您会负责。基本上,这些变量在任何时候都不应该发送给客户端。 – 2011-10-17 13:27:04
Thankyou,我浏览了文档,但找不到任何东西。所以如果我的访问令牌到期了,我该如何让我的PHP脚本告诉我的JavaScript新访问密钥是什么? – 2011-10-17 13:32:56
哦,我是这样一个新生儿...它没关系,把它盖住了。谢谢:) – 2011-10-17 13:34:12