將OAuth令牌從設備傳遞到服務器：糟糕的形式？

Question

我想做與此處所述相反的操作：Can I use oauth token at client side?

我正在構建一個在超鏈接上執行Facebook Graph API查找的服務。恰巧，Facebook Graph API始終需要一個OAuth令牌來查找任何內容。

讓客戶端將OAuth令牌傳遞給我的服務有什麼問題嗎？這樣我就可以代表他們訪問Facebook Graph API了嗎？ （我與客戶端的連接將通過HTTPS爲此。）

Answer 1

谷歌不建議，但有混合的方法描述here。

要充分利用所有Google+的好處登錄您必須 使用其中一個用戶授權就使用JavaScript API客戶端 客戶端的應用程序的混合服務器端的流量和你發送一個特殊的 一次性授權碼到您的服務器。你的服務器通過這個 一次性代碼來獲取它自己的訪問和刷新令牌，從 谷歌服務器能夠使其自己的API調用，這可以 在用戶脫機時完成。與純服務器端流量和發送 訪問令牌到您的服務器相比，此一次性代碼流具有 安全優勢。