Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/facebook/8.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
有人可以用Facebook访问令牌做什么?_Facebook_Security_Facebook Access Token - Fatal编程技术网
Fatal编程技术网
  • facebook/
  • 有人可以用Facebook访问令牌做什么?

有人可以用Facebook访问令牌做什么?

facebook security

有人可以用Facebook访问令牌做什么?,facebook,security,facebook-access-token,Facebook,Security,Facebook Access Token,假设您有一个Facebook应用程序,它使用外部API为使用此应用程序的用户获取相关数据。API需要用户的访问\u令牌来检索此相关数据。由于API是一项独立的服务,因此需要为其提供一个Facebookaccess\u令牌,以检索相关数据(它无法获取登录用户的access\u令牌,因为它运行在与用户登录的域不同的域上) 向API提供access\u令牌的一种方法是发出HTTP请求(同步或异步,无所谓) 问题是,如果它拦截这个access\u令牌(因为很明显,它可以在HTTP请求中被拦截),那么有人

假设您有一个Facebook应用程序,它使用外部API为使用此应用程序的用户获取相关数据。API需要用户的
访问\u令牌
来检索此相关数据。由于API是一项独立的服务,因此需要为其提供一个Facebook
access\u令牌
,以检索相关数据(它无法获取登录用户的
access\u令牌
,因为它运行在与用户登录的域不同的域上)

向API提供
access\u令牌的一种方法是发出HTTP请求(同步或异步,无所谓)


问题是,如果它拦截这个
access\u令牌
(因为很明显,它可以在HTTP请求中被拦截),那么有人能做什么?它是否受到未经授权使用的保护,或者任何人都可以使用它来查询个人想要的Facebook API?
它可以用于查询和创建令牌权限范围内的所有内容。您应该考虑使用HTTPS传输令牌,这将大大降低令牌在途中被盗的风险。(由于您只需要两台服务器相互通信,因此可以使用自签名证书进行通信。)除了在请求中传递访问令牌外,还有其他方法可以使API中的访问令牌可访问吗?