1

我创建了一个应用程序和一个离线访问令牌,这样我就可以在我的网站上显示新闻提要,而无需登录 Facebook。我用 PHP 和 JavaScript 创建了两个运行良好的测试版本。但我删除了 JavaScript 版本,因为我担心在客户端脚本中明确声明访问令牌时缺乏安全性。出于安全原因,服务器端是唯一的方法吗?

4

1 回答 1

0

我认为您从 javascript 中取出访问令牌是正确的。只要该访问令牌是有效的——即使它没有通过offline_access 权限获得——它就可以用于代表该用户/应用程序/页面执行操作。您只需拨打易于获得的用户/应用程序/页面 ID 和有效的访问令牌......

我建议您将访问令牌管理留给服务器端脚本。也许进行ajax调用以定期刷新帖子......

于 2011-09-12T20:51:31.783 回答