0

使用 JavaScript SDK 并发出登录请求,一旦我收到来自 Facebook 的请求响应,指出用户已“连接”,我可以确定此请求没有被劫持吗?

Facebook 提供了用于验证响应的应用程序密码,但在验证示例中,从未请求应用程序密码。

我正在寻找更多使用 JavaScript SDK 或 C# SDK 来安全地验证 facebook 用户的示例。

如果我不正确理解应用程序密码或 oAuth,请随时提出建议并解释为什么不需要应用程序密码,但从我读过的文档来看,这听起来很有必要。

4

1 回答 1

0

应用程序机密仅在服务器端使用,以确保响应是真实的。它不能在客户端使用(即:在 JavaScript 中),因为这需要将应用程序机密本身存储在您的 JavaScript 代码中,这将完全违背机密的目的(即,它将不再是机密)。

所以,是的,你的 JavaScript 请求可以被劫持,但这并不重要。只要您将您的密钥用于服务器端请求(例如,更新 MySQL 数据库)就可以了。

于 2012-08-13T19:15:04.640 回答