有人声称,由于将他们的 Facebook App Secret 暴露在一个从未实时部署的应用程序上,仅在本地开发中,他们用来生成 Facebook App ID 和 Secret 的 Facebook 帐户被黑客入侵,他们无法访问它。我对这种说法感到困惑。据我所知,App Secret 最多允许获取访问令牌,这些令牌可用于代表应用程序进行 API 调用。如果应用程序本身甚至没有部署在生产环境中,这可能吗?
但我的主要问题是,真的有一种方法可以让某人从该帐户生成的 App Secret 侵入 Facebook 帐户吗?Facebook 本身没有提及这一点:https ://developers.facebook.com/docs/facebook-login/security/#appsecret