Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
一旦我收到使用 OAuth 的网站(比如 facebook)的访问令牌,保守这个秘密有多重要?如果有人抓住了一个,会发生什么恶意吗?
我想知道将令牌保存在 cookie 或会话中是否是个坏主意。
是的,访问令牌等同于您的用户名/密码。大多数实现会在一段时间后使访问令牌过期,但当它仍然有效时,它必须保密。
更新:如果您让用户连接到 javascript sdk,则用户 ID 和访问令牌已经存储在您网站的 cookie 中。检查正在发送的 http cookie。如果不是,请查看FB.Init文档,因为 FB.Init 有一个 cookies 布尔参数,您可以设置它以便为您创建一个名为 fbs_{APPID} 的 cookie。 这篇文章谈到了那个 cookie。