有人可以用Facebook访问令牌做什么?
假设您有一个Facebook应用程序,它使用外部API为使用此应用程序的用户获取相关数据。API需要用户的有人可以用Facebook访问令牌做什么?,facebook,security,facebook-access-token,Facebook,Security,Facebook Access Token,假设您有一个Facebook应用程序,它使用外部API为使用此应用程序的用户获取相关数据。API需要用户的访问\u令牌来检索此相关数据。由于API是一项独立的服务,因此需要为其提供一个Facebookaccess\u令牌,以检索相关数据(它无法获取登录用户的access\u令牌,因为它运行在与用户登录的域不同的域上) 向API提供access\u令牌的一种方法是发出HTTP请求(同步或异步,无所谓) 问题是,如果它拦截这个access\u令牌(因为很明显,它可以在HTTP请求中被拦截),那么有人
访问\u令牌
来检索此相关数据。由于API是一项独立的服务,因此需要为其提供一个Facebookaccess\u令牌
,以检索相关数据(它无法获取登录用户的access\u令牌
,因为它运行在与用户登录的域不同的域上)
向API提供access\u令牌的一种方法是发出HTTP请求(同步或异步,无所谓)
问题是,如果它拦截这个access\u令牌
(因为很明显,它可以在HTTP请求中被拦截),那么有人能做什么?它是否受到未经授权使用的保护,或者任何人都可以使用它来查询个人想要的Facebook API?它可以用于查询和创建令牌权限范围内的所有内容。您应该考虑使用HTTPS传输令牌,这将大大降低令牌在途中被盗的风险。(由于您只需要两台服务器相互通信,因此可以使用自签名证书进行通信。)除了在请求中传递访问令牌外,还有其他方法可以使API中的访问令牌可访问吗?