是否存在关于 Facebook 应用秘密的数量问题以及我可以在多少个单独的连接(或“应用程序”)上使用相同的应用 ID/秘密?例如,我正在创建一个 SharePoint 自动托管的 Facebook 应用程序。自动托管意味着我的应用程序的服务器组件将自动部署到 Azure 每个 SharePoint 客户。用户无法获得应用程序 ID 或秘密(据我所知,显然任何东西都可以在一定程度上被破解),所以我不关心它的安全性,或共享秘密。但是,可能有数千个单独的应用程序使用相同的应用程序 ID/密码连接到 Facebook。这是一个问题吗?
顺便说一句,我不一定在谈论带宽/流量阈值,我更关心使用相同 id/secret 的单个连接的数量。我知道政策规定:“如果您超过或计划超过以下任何阈值,请联系我们,因为您可能会受到附加条款的约束:(>5M MAU)或(>100M API 调用每天)或( > 每天 5000 万次展示)。” 这不是我最关心的问题。
However, potentially thousands of individual apps could be using the same app id/secret to connect to Facebook. Is this an issue?
是的,绝对是的。
应用程序访问令牌旨在代表应用程序进行 API 调用,以证明调用是代表应用程序本身进行的 - 典型用例是执行管理操作,例如从用户配置文件中卸载应用程序或阻止它们、更新应用程序设置、向授权用户发送通知、读取有关应用程序支付交易的财务数据等。
如果您打算使用应用访问令牌进行读取调用,我怀疑您误解了 Facebook API 中使用的访问模型 - 您应该代表已授予您的应用访问权限的特定 Facebook 用户进行 API 调用,并且更新他们的数据 - 在您广泛分发的代码中嵌入应用 ID 和密码对您的应用用户来说是一个安全问题,将很快达到 API 速率限制,如果应用关闭,将立即破坏您客户端代码的所有实例。
我强烈建议您阅读登录文档并确保您使用用户访问令牌来请求用户数据 - https://developers.facebook.com/docs/facebook-login/