如果有人拿到我的appsecret，會發生什麼情況？

Question

根據此處的文檔（http://developers.facebook.com/docs/authentication/）。您的應用程序的祕密不應該被共享：

該應用程序的祕密可從開發者應用程序，不應該 與任何人共享或嵌入在你將分發 任何代碼（你應該使用客戶端流程對於這些場景）。

爲什麼？如果它意外或以其他方式公開分享，是否會被利用？

如果發生這種情況，我應該擔心什麼？有人可以用這些信息做什麼？

我認爲我可以通過我選擇的網站URL進行安全認證作爲認證過程的一部分？

謝謝

Answer 1

畫布URL不用於驗證對Facebook API的請求。惡意用戶可以編寫自己的應用程序，使用您的應用程序密碼來獲得具有應用程序安全權限的會話。這允許攻擊者竊取您的用戶授權您的應用有權訪問的所有數據，並執行用戶授權您的應用執行的所有操作（牆貼等）。