Cocoa 验证Facebook令牌时遇到问题
我正在为OSX构建一个小型Facebook登录库。这不是因为没有SDK,而是因为我想要Cocoa自带的东西来封装登录过程。我已成功从Facebook登录URL请求访问令牌。我使用此字符串格式执行登录:Cocoa 验证Facebook令牌时遇到问题,cocoa,facebook-graph-api,facebook-login,Cocoa,Facebook Graph Api,Facebook Login,我正在为OSX构建一个小型Facebook登录库。这不是因为没有SDK,而是因为我想要Cocoa自带的东西来封装登录过程。我已成功从Facebook登录URL请求访问令牌。我使用此字符串格式执行登录: https://www.facebook.com/dialog/oauth?client_id=%@&redirect_uri=%@&response_type=token 对于重定向\u uri字段,我通过https://www.facebook.com/connect/log
https://www.facebook.com/dialog/oauth?client_id=%@&redirect_uri=%@&response_type=token
重定向\u urihttps://www.facebook.com/connect/login_success.htmlhttps://graph.facebook.com/debug_token?input_token=%@&access_token=%@
input\u令牌应用程序ID |应用程序机密https://graph.facebook.com/me?access_token=%@
{
"id": "542440888",
"name": "Max Rabin",
"first_name": "Max",
"last_name": "Rabin",
"link": "https://www.facebook.com/MY_USER_NAME",
"username": "MY_USER_NAME",
"birthday": "11/22/YEAR",
"hometown": {
"id": "110970792260960",
"name": "Los Angeles, California"
},
"location": {
"id": "110970792260960",
"name": "Los Angeles, California"
},
"bio": "There are 10 kinds of people in this world.\r\n01: Those who know trinary\r\n02: Those who don't\r\n10: Those who confuse it with binary",
"gender": "male",
"email": "MY_EMAIL",
"timezone": 2,
"locale": "en_US",
"languages": [
{
"id": "106059522759137",
"name": "English"
}
],
"verified": true,
"updated_time": "2013-10-21T10:02:49+0000"
}
这不是有点安全隐患吗?某人可以从其他应用程序获得用户访问令牌,然后他可以将其发送到我们的服务器并作为其他用户登录。还是我搞错了?Facebook客户端令牌的作用域是应用程序。他们不会在另一个应用程序中工作。谢谢你澄清这一点。换句话说,如果我想检查任何令牌的范围,我必须发出请求并检查它是否被拒绝?(我试图抓住这样一个案例:用户减少了我选择的默认范围,并防止我的应用程序崩溃)@AugustosaméBarrientos,这是错误的。用户访问令牌的作用域不限于应用程序。例如,使用/me路由只需要用户访问令牌,而不需要任何与应用程序相关的信息。@sermonionx您混淆了概念。当你让你的用户注册使用你的应用程序时,你作为应用程序开发者,将从Facebook获得一个客户端用户令牌。它唯一地标识用户以及用户在注册应用程序时授予的权限。但它的范围只是你的应用程序。它不能用在其他地方。它将允许您返回/me路由上的数据,因为它的作用域是用户,但对于应用程序相关的权限,它的作用域仅限于您的应用程序。您好,您解决问题了吗?当我传递我的
app ID | app secret