问题标签 [app-secret]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
facebook-javascript-sdk - 发布应用程序机密到底有多糟糕?
经过重要的巫术,我终于让分数 API 工作了。原来你必须设置Enhanced Auth Dialog为,disabled否则 Facebook 会忽略你的publish_actions许可。只是提醒一下,以防其他人在挣扎。
但是,我完全在 Javascript API 中工作。没有可用的服务器端脚本。
发布分数的唯一方法是使用应用访问令牌。获得其中一个的唯一方法是使用应用程序密钥,并且必须在 JavaScript 代码中才能让全世界看到。这到底有多糟糕?
TBH 我不在乎是否有人在我的小乒乓球比赛中欺骗分数。对他们有好处,只有他们和他们的朋友才能看到。这只是一点乐趣。但是,如果我的应用程序机密被发布,究竟会出什么问题呢?有人可以劫持整个应用程序吗?或者它只是不好的做法,一个小迷你游戏不会有什么问题?
这都是纯粹的 javascript SDK,所以它似乎只能通过用户访问令牌工作,所以我的第一直觉是没关系。但我想我会问......!
facebook - 如果有人得到我的 appsecret 会怎样?
根据此处的文档(http://developers.facebook.com/docs/authentication/)。您的应用机密永远不应该被分享:
应用程序机密可从开发人员应用程序中获得,不应与任何人共享或嵌入到您将分发的任何代码中(您应该在这些场景中使用客户端流程)。
为什么?如果它被意外或以其他方式公开共享,是否可以被利用?
如果发生这种情况,我应该有什么顾虑?有人可以用这些信息做什么?
我认为我选择作为身份验证过程的一部分的站点 URL 是安全的?
谢谢
facebook - 获取页面的 APP_SECRET,而不是应用程序?
现在我正在做一个 http 发布请求,从一个冷融合文件直接发布到我的 Facebook 页面。现在,它与页面的正常 ACCESS_TOKEN 完全兼容。我的问题是,为了延长 ACCESS_TOKEN 的寿命,我需要一个 APP_SECRET,但我不知道如何获取页面。有小费吗?我真的希望这是可能的。
facebook-android-sdk - 保护用于 extendAccessToken 使用的应用程序机密
我正在为 Android 开发,目前使用 facebook-android-sdk 进行身份验证。据我所知,该代码中没有使用应用程序密码,这很棒。
现在 Facebook 将删除 offline_access 权限,我需要扩展访问令牌。不幸的是,sdk 的 extendAccessToken 方法不是独立的,需要安装官方的 Facebook 应用程序,这对我来说是不可接受的。
所以我决定直接实现extendAccessToken(类似于iphone sdk实现)。问题是扩展访问令牌的 HTTP 请求需要 client_secret 字段,这意味着我需要将应用程序密码放入代码本身。对于可以轻松进行逆向工程的 Android/Java 应用程序来说,这根本不安全。
有没有其他选择?
facebook - 应用程序安全漏洞 - 如何使一个应用程序的所有令牌无效?
我们的一个应用程序被黑了,一些墙贴/照片是代表我们的应用程序发布的。我们怀疑黑客以某种方式从我们的应用程序中检索了 access_token。
解决此安全漏洞的最佳方法是什么?
我们希望使该应用程序的所有访问令牌无效。但问题是如何?更改应用程序密码对这种情况有帮助吗?
谢谢。
ios - 我可以在 iOS 应用和相应的 Facebook 游戏之间共享相同的 App id 和 App Secret 吗?
我看到了这个新政策,有点担心:
*(Facebook.com 和移动设备上的游戏不得与 Facebook.com 以外的桌面网络游戏共享相同的应用 ID)
我有 3 个应用程序共享相同的应用程序 ID 和应用程序密码:使用 facebook 登录的网站、相应的 facebook 应用程序和使用 fb 连接的相应 ios 应用程序。
现在我已经更改了网站的应用程序 ID 和应用程序密码,这很清楚。
我不确定我是否还必须更改 ios 应用程序的应用程序 ID 和应用程序密码,或者我是否可以继续在 fb 应用程序和 ios 应用程序之间共享它。
有人能帮我吗?
facebook - 是否可以在不向公众公开我们的访问令牌的情况下从客户端向 Facebook Graph API 发送请求?
我的问题与这个问题有关,但不完全是。
我目前正在开发一个企业目录网站(类似于 Yelp),其中企业有自己的页面。让我们称之为这个应用程序DIRECTORY_APP。
企业可能希望在我们目录上托管的页面上显示其最新的 Facebook 状态更新。假设我们有一个名为 的企业BIZ_1。假设这些页面是公共页面。
显然 Facebook Graph API 可用于此目的。因此,我可以向 Facebook 发送请求以检索以下内容的最新状态更新BIZ_1:
但是,如果我从客户端使用它,我们网站的访问令牌将暴露给公众,所以这不是一个合理的解决方案。
现在在上述问题中,Anatoly 提到我们可以通过首先发送此请求来检索访问令牌:
但是,如果有人检查网络日志,这也会暴露我们网站的访问令牌(这是正确的还是不同类型的访问令牌?)。此解决方案还公开了我们网站的应用程序机密(这安全吗?)。
总而言之,在不要求浏览用户首先登录 Facebook 的情况下,我可以从客户端检索网页的最新状态更新的安全方法是什么?
facebook - 使用 Facebook 详细信息进行备用注册/登录
我的论坛上的应用程序(备用注册信息)要求
脸书应用程序 ID;- 我有这个
脸书秘密;- 我有这个
Facebook页面网址;- 这是什么?
Facebook 插件默认语言;英语(英国)
站点域;- 这是什么?
当我尝试登录时,我得到 API 错误 191?
facebook-php-sdk - 尝试获取访问令牌时出现“请求无效,因为应用程序机密与客户端令牌相同”错误
我使用 facebook php sdk 在我的网站上提供 facebook 登录没有任何问题。几天后,我无法再登录了。我按照https://developers.facebook.com/docs/howtos/login/server-side-login/上描述的步骤进行操作,但在第 6 步失败并出现以下响应:
我不明白为什么它停止工作。你有过同样的问题吗?
谢谢
ruby - 将 Dropbox 客户端密钥与应用程序一起分发是否安全?
将 Dropbox 客户端密钥与应用程序一起分发是否安全?
例如,如果我想发布一个开源项目,我需要将客户端密码嵌入到应用程序中(因为 Dropbox 使用 oauth 1.0)。
如何在没有滥用可能性的情况下做到这一点?