페이스 북 그래프 API 피드에서 반환 된 JSON을 구문 분석하기 위해 맞춤 ajax 스크립트를 만들었습니다.페이스 북 그래프 API에 대한 access_token의 보안 위협은 무엇입니까?
은 내가 APP_ID는 응용 프로그램 ID입니다
https://graph.facebook.com/oauth/access_token?grant_type=client_credentials&client_id=APP_ID&client_secret=APP_SECURITY
에 요청을 할 수 있으며, APP_SECURITY이 응용 프로그램의 보안 또 다른 하나를 얻기 위하여 있도록 액세스 토큰이 만료 사실과 조건에 와서 내 페이스 북 앱 개발 계정에 등록 된 값.
그러나 아약스를 통해 이러한 요청을하고 있기 때문에 걱정이됩니다. 따라서 기본 크롬/방화범 지식을 가진 사람이 내 app_id, app_security 및 access_token 변수 (지금부터 '변수'라고 함)에 액세스 할 수 있습니다. 내 자바 스크립트 파일.
사용자가 이와 같은 정보를 어떤 용도로 사용할 수 있는지 확실하지 않습니다.
액세스 토큰이 순수하게 내 Facebook 페이지의 읽기 전용 JSON 출력을 제공합니까? 또는이 정보를 악의적 인 용도로 사용할 수 있습니까?
지금 : 누군가가 대답하기 전에 PHP를 사용하여 JSON을 가져와 파싱해야한다고 말하기 전에 ... 분명히 비동기적인 이점을 위해 고객 요구 사항이 아약스를 사용하기 때문에 불가능합니다.
변수가 내 페이스 북 계정에 위협이되지 않으며 읽기 전용으로 만 사용될 수 있다면 프로그래밍으로 계속 진행할 것입니다!
그러나 보안이 유지되어야하는 경우 ... 변수를 숨기려면 JavaScript에 변수를 안전하게 전달할 수 있습니까?
추신. 나는 이미 변수를 얻기 위해 미리 작성된 PHP 스크립트를 가지고있다. 그냥 방법 후에 공개 APP_ID 및 APP_SECRET를 표시하지 마십시오, 자바 스크립트에 전달할 때 (필요한 경우) 확보
감사
알렉스
댓글로
이렇게하지 마십시오. 공개적으로 볼 수 없도록해야합니다. 문서들조차도이 사실을 알려줍니다. 앱 ID와 비밀로 앱을 가장하고 내가 얻은 권한으로 원했던 일을 할 수 있으며 책임감을 가질 수 있습니다. 기본적으로 이러한 변수가 클라이언트에게 전송되지 않아야합니다. –
고맙습니다. 문서를 보았지만 아무 것도 찾을 수 없었습니다. 그럼 내 액세스 토큰이 만료되면 내 자바 스크립트에 새로운 액세스 키가 무엇인지 알려주는 PHP 스크립트를 어떻게 구합니까? –
오, 그게 새것 같은데 ... 괜찮아. 감사합니다 :) –