Javascript Facebook应用程序代币来自；安慰剂；应用程序

我知道公开你的facebook应用令牌不是一个安全的方法。但我想了解它的真正风险，因为我从未深入使用过facebook API，所以我可能与深入使用它的人没有相同的看法

我找不到很多关于如何使用手中的代币的细节

因为它要求你包含你的应用程序机密，所以你不应该 尝试在客户端进行此调用，因为这样会暴露此秘密 发送给所有应用程序用户。重要的是，你的应用程序秘密永远不会被泄露 与任何人共享。因此，应执行此调用 服务器端

因此，假设我创建一个应用程序只是为了以静态方式使用令牌（在任何调用中复制和粘贴），其他什么都没有。我称之为“安慰剂”（找不到更好的词）的应用程序

• 没有机密数据
• 甚至连公共数据都没有
• 应用程序不会连接到任何东西
• 不会向任何用户请求任何数据
• 不会保留任何数据

我用于测试的facebook应用程序甚至不适用于所有用户。 -“由于您的应用程序不是实时的，因此无法供所有用户使用” -“此应用程序处于开发模式”

它只是一个Facebook应用程序，用来生成一个应用程序令牌并继续使用

这个代币会造成什么真正的损害

为什么这个问题对我很重要。因为我的应用程序的方法是不具有服务器端依赖性。更多的是关于商业模式的建议。一个独立的客户端应用会给我带来很多好处

---

我希望这个问题能以某种方式产生效果。

即使你的应用程序不要求任何权限，也不收集数据，任何拥有你的秘密令牌的人都可以充当你的应用程序名。这意味着他们可以使用你的名字和应用程序标识发布。起初，这看起来不是什么大问题，因为应用程序与任何名称或品牌都没有关系。这个名字可以是任何胡说八道的名字。以一种狡猾的方式使用这个应用程序的代币与创建你自己的没有实际价值的“安慰剂”应用程序是一样的。你认为呢？另外，app-access-token允许更改很多app设置，//在客户端代码中嵌入app-access-token/app-secret是你永远不应该做的事情。如果您想要一个纯客户端应用程序，那么您应该让用户登录到它，这样您就可以对任何需要用户访问令牌的API请求使用他们的用户访问令牌。@CBroe这是一个很好的观点。@CBroe应用程序可以阻止对应用程序设置所做的更改吗？