编辑:这个问题是错误的,见结尾。
我正在将 Facebook 与我的网站集成,并且正在遵循标准的客户端/服务器身份验证设置,以及所有有趣的令牌练习、权限请求以及您拥有的一切。这是必要的,因为我们想利用扩展权限数据、执行帖子等。
但如果我们只对 Facebook 作为一种身份验证方法感兴趣,似乎我们可以在用户不知道的情况下完成整个事情。如果我们只需要一种方法来跟踪用户在我们网站上的行为并在每次访问中记住它,我们只需要能够持续且唯一地识别他或她。为此,Facebook 用户 ID 就足够了,并且可以使用 js 或 php sdk 轻松查询——用户无需查看或批准任何内容。
这在隐私方面似乎有点不雅,但完全在 Facebook 提供的公开可用信息/工具之内。对于许多应用程序来说,这也很有意义——人们试用了您的网站,然后决定进行真实注册,他们可以继承他们过去的所有活动,完全经过身份验证的用户可以看到他们的朋友在网站上所做的事情即使那些朋友不同意被跟踪...
这是否违反 Facebook 的 ToS 或其他不可行?我很惊讶我没有经常遇到它(除非它隐藏得很好:))。
编辑:这个问题是基于对我的调试数据的错误解释,因此在不正确的前提下。获取用户 ID 确实是一个巨大的隐私漏洞,并且至少需要一点点黑客攻击才能提取。