客戶端訪問access_token，使用Facebook圖

Question

我有一個應用程序，其中包括顯示用戶的Facebook帳戶的一些照片。我目前使用fb_graph gem來做到這一點（這是一個Ruby項目）。

我可以得到的URL沒有問題，但我無法解決的是用戶是否能夠看到這些照片，顯示在我的頁面上，如果他們從他們的Facebook帳戶註銷。網址如下所示：http://sphotos-d.ak.fbcdn.net/hphotos-ak-prn1/<id>.jpg。

雖然有一個明顯的解決方法。我可以將用戶訪問令牌附加到URL上，以便他們具有相同的權限來查看我的照片：``http://sphotos-d.ak.fbcdn.net/hphotos-ak-prn1/.jpg？access_token =`。

這樣的問題http://developers.facebook.com/docs/authentication/client-side/暗示它應該是客戶端使用access_token的最後一招，但我認爲我必須（因爲並非所有的照片都是公開的）。

而這個問題Facebook access token: server-side vs client-side flows說，因爲我得到令牌服務器端，它將持續60天。所以我想小心使用它。

兩個問題，然後：這將工作查看照片，並有沒有更好的方式，不公開access_token？

Answer 1

不要在任何情況下將其在內容的任何URL的訪問令牌您的網頁上，或從第三方網站在拉任何資源將在來源標題

的URL你暴露用戶的訪問令牌從API檢索照片應該可以直接訪問而不需要訪問令牌

Answer 2

你能訪問https://sphotos-a.xx.fbcdn.net/hphotos-ash3/168119_10150146071831729_5116892_n.jpg嗎？我認爲你可以這樣做是因爲它在facebook上的cdn。你得到這個鏈接並不是偶然的。爲了達到這一步，您需要使用訪問令牌和「user_photos」權限訪問用戶的相冊和照片（您似乎已經在執行此操作）。

從技術上講，你應該罰款生產（除非Facebook更改其cdn網址，這似乎不太可能）。

編輯
忘了提。暴露用戶的訪問令牌並不是很好的做法（就像Igy提到的那樣）。 黑客仍需要您的應用程序ID和客戶端密碼才能使用訪問令牌執行惡意操作，但您不想冒不必要的風險。閱讀this問題了解更多詳情。

Answer 3

我還沒有正確理解這個問題。

對於像這樣的資源：http://sphotos-d.ak.fbcdn.net/hphotos-ak-prn1/blah它們是靜態URL，它們不會每時每刻都在改變，並且它們不需要訪問令牌供其他人查看。你將需要一個access_token來獲取網址。

客戶端生成的令牌有效期爲60天或被稱爲「擴展到期訪問令牌」，並且顯然must not會通過暴露令牌來威脅用戶的安全。

我想念你的問題的任何部分？