4

经过重要的巫术,我终于让分数 API 工作了。原来你必须设置Enhanced Auth Dialog为,disabled否则 Facebook 会忽略你的publish_actions许可。只是提醒一下,以防其他人在挣扎。

但是,我完全在 Javascript API 中工作。没有可用的服务器端脚本。

发布分数的唯一方法是使用应用访问令牌。获得其中一个的唯一方法是使用应用程序密钥,并且必须在 JavaScript 代码中才能让全世界看到。这到底有多糟糕?

TBH 我不在乎是否有人在我的小乒乓球比赛中欺骗分数。对他们有好处,只有他们和他们的朋友才能看到。这只是一点乐趣。但是,如果我的应用程序机密被发布,究竟会出什么问题呢?有人可以劫持整个应用程序吗?或者它只是不好的做法,一个小迷你游戏不会有什么问题?

这都是纯粹的 javascript SDK,所以它似乎只能通过用户访问令牌工作,所以我的第一直觉是没关系。但我想我会问......!

4

1 回答 1

1

您还使用了哪些其他权限?如果您使用的是“publish_stream”,我相信您可以想象随之而来的恶作剧!更糟糕的是,如果用户同时拥有您的公钥和私钥(他们将拥有),他们可能会创建一个完整的欺骗应用程序,将自己标识为您!

facebook 中的“域”选项应该可以防止这种情况发生,但如果攻击者有可能进行XSS 攻击,他们可能会编写伪装成您的游戏的恶意应用程序。

您是否考虑过使用谷歌应用引擎编写一些非常简单的东西来处理应用身份验证令牌?

于 2011-10-27T20:07:43.507 回答