1

根据此处的文档(http://developers.facebook.com/docs/authentication/)。您的应用机密永远不应该被分享:

应用程序机密可从开发人员应用程序中获得,不应与任何人共享或嵌入到您将分发的任何代码中(您应该在这些场景中使用客户端流程)。

为什么?如果它被意外或以其他方式公开共享,是否可以被利用?

如果发生这种情况,我应该有什么顾虑?有人可以用这些信息做什么?

我认为我选择作为身份验证过程的一部分的站点 URL 是安全的?

谢谢

4

1 回答 1

4

画布 URL 不用于验证对 Facebook API 的请求。恶意用户可以编写自己的应用程序,该应用程序使用您的应用程序机密来获取具有您应用程序安全权限的会话。这允许攻击者窃取您的用户已授权您的应用访问的所有数据,并执行用户已授权您的应用执行的所有操作(墙贴等)。

于 2011-12-15T11:04:12.127 回答