Facebook的OAuth認證安全

Question

使用JavaScript SDK，使登錄請求，一旦我收到來自Facebook，指出用戶請求響應「已連接」浩我可以放心，這個要求沒有被劫持？

的Facebook提供了驗證響應使用應用程序的祕密，但在用於認證的例子應用密鑰不會請求。

我要找使用JavaScript SDK或C＃SDK來安全驗證Facebook用戶的進一步的例子。

如果我沒有正確理解應用程序的祕密或OAuth的，請隨時提出建議，並解釋爲什麼不需要應用程序的祕密，但是從我讀過的文檔聽起來有必要。

Answer 1

該應用祕訣只用於服務器端非常認真的答覆是真實的。它不能用於客戶端（即：在JavaScript中），因爲這需要將應用程序祕密本身存儲在JavaScript代碼中，這完全破壞了祕密的目的（即，它不再是祕密）。

所以，是的，你的JavaScript請求可以被劫持，但它其實並不重要。只要你將祕密用於服務器端請求（例如更新MySQL數據庫），你應該沒問題。