假设您有一个 Facebook 应用程序,它使用外部 API 为使用此应用程序的用户获取相关数据。API 需要用户access_token来检索这些相关数据。由于 API 是一项单独的服务,因此需要为它提供 Facebookaccess_token以检索相关数据(它无法获取已access_token登录用户的 ,因为它在与用户登录的域不同的域上运行)。
向 API提供的一种方法是发出access_tokenHTTP 请求(同步或异步,无关紧要)。
问题是,如果它拦截了这个access_token(因为很明显,它可以在 HTTP 请求中被拦截),有人能做什么?它是否以某种方式受到未经授权的使用的保护,或者任何人都可以使用它来查询个人想要的任何 Facebook API?