在各应用程序之间共享Facebook访问令牌

Question

我想向第三方提供使用Facebook API的服务。我们可以共享访问令牌吗？如果第三方为我的服务提供了用户的访问令牌，那么即使我的app_id秘密与请求它的应用不匹配，我也可以访问该用户的数据吗？

我应该让用户在我的网站上通过单独的oauth流程，即使他们已经为其他第三方完成它了吗？

谢谢。

-Ken

Answer 1

关于：

是否有可能为我们分享访问令牌？

，并

我可以访问用户数据，即使我的APP_ID &秘密不请求它的应用程序相匹配？

答案是No。从规格OAuth2 section 10.3：

访问令牌凭据（以及任何机密的访问令牌属性）必须在运输和储存保密，只有授权服务器之间共享，资源服务器的访问令牌对访问令牌发出的客户端有效。

---

我应该有用户去通过一个单独的OAuth流在我的网站，即使他们已经完成了它的其他第三方？

答案是Yes。如果您使用Facebook作为授权服务器，并且您再次重新启动oauth流程，您的用户只需要批准您的其他应用程序（第三方）。

Answer 2

每一个访问令牌只发出一个应用程序 - 它无法与不同的应用程序ID使用。

Answer 3

即使该用户访问令牌仅针对一个应用程序发布，也可以从任何其他应用程序轻松使用。

例子：

1. 获得访问令牌“图形API浏览器”应用程序在这里https://developers.facebook.com/tools/explorer/?method=GET&path=me，使一个请求 - 你会看到你的数据。
2. 复制访问令牌并打开其他机器|浏览器并转至https://graph.facebook.com/me?access_token=[access_token] - 您仍然可以检索有关您的Facebook用户的信息！

这里https://developers.facebook.com/docs/concepts/login/access-tokens-and-types/它提到

我们的数据政策明确禁止访问令牌的任何共享与任何其他应用程序您的应用程序。但是，只要使用HTTPS进行传输，我们确实允许开发人员在本机实现和同一App的服务器实现之间共享Token（即使用相同的App ID）。