我製作了一個自定義的ajax腳本來解析從facebook圖形API提要返回的JSON。Facebook Graph API的access_token有哪些安全威脅?
我已經知道如何面對,該訪問令牌到期,所以爲了得到另一個我能爲
https://graph.facebook.com/oauth/access_token?grant_type=client_credentials&client_id=APP_ID&client_secret=APP_SECURITY
一個請求,其中APP_ID爲應用程序ID和APP_SECURITY是應用安全的事實值與我的Facebook應用程序開發帳戶註冊。
但是我很擔心,因爲我通過ajax發出這些請求,因此任何具有基本chrome/firebug知識的人都可以訪問我的app_id,app_security和access_token變量(從現在開始稱爲'變量')我的JavaScript文件。
我不確定哪些用戶可以做這種信息?
訪問令牌是否純粹提供了我的Facebook頁面的只讀JSON輸出?或者可以將這些信息用於更惡意的目的?
現在:之前有人回覆說我應該使用php來獲取JSON和解析等......我不能,因爲客戶的要求是使用ajax,因爲顯而易見的異步好處。
如果這些變量不會對我的Facebook帳戶構成威脅,並且只能用於只讀目的,那麼我將繼續使用我的編程!
但是,如果他們必須保持安全...我怎樣才能安全地將變量傳遞給JavaScript以保持變量隱藏?
PS。我已經有預寫的PHP腳本來獲得變量。只是一個方法之後,保持傳遞給JavaScript的時候把它們固定(如有必要)
感謝
亞歷
不要這樣做。他們不應該公開可見。即使是文檔告訴你這一點。有了您的應用ID和祕密,我可以假裝成您的應用,並根據我獲得的權限執行我想要的任何操作,而且您會負責。基本上,這些變量在任何時候都不應該發送給客戶端。 – 2011-10-17 13:27:04
Thankyou,我瀏覽了文檔,但找不到任何東西。所以如果我的訪問令牌到期了,我該如何讓我的PHP腳本告訴我的JavaScript新訪問密鑰是什麼? – 2011-10-17 13:32:56
哦,我是這樣一個新生兒...它沒關係,把它蓋住了。謝謝:) – 2011-10-17 13:34:12