0
oauth_token을 지키는 것이 얼마나 중요합니까? 예를 들어, 자바 스크립트에서 주위에 전달하지 않도록하고 전적으로 PHP를 토지에 보관하거나 편리하게 그것을 사용하는 것은 무해한가요? 나는 사용자가 그걸로 할 수있는 사악한 것들을 알아 내려고 노력하고 있지만, 수동으로 요청에 응답하고 자신의 정보를 찾는 것은 상당히 무해한 것처럼 보인다.Facebook - 인증 토큰 보안?
그래서 당신이 말하는 것은 그 사용자가 그것을 볼 수있는 유일한 사람이라면 문제가되지 않아야한다는 것입니다. – keybored
oauth_token은 토큰 비밀, 소비자 키 및 소비자 비밀이 없으면 쓸모가 없습니다. 최종 사용자를 고유하게 식별 할 수있는 정보의 한 부분이지만 서명에 필요한 추가 필드가 없으면 아무 것도 할 수 없습니다. –
나는 마크 S에 동의하지 않는다. 토큰은 비밀과 키가 없다면 쓸모가 없다. 그것은 비밀과 키에 기반 해 생성되며, 그것이 나타내는 엔티티 대신 행동 할 수있는 액세스를 제공한다. 따라서 사용자를 대신하여 생성 된 access_token이 공용에 노출되면 사용자는 해당 액티비티가 활성화되어있는 동안 해당 사용자를 대신하여 작업을 수행 할 수 있습니다. 대부분의 경우,'offline_access'가 부여되고 사용자의 access_token은 세션 타임 아웃을 갖지 않습니다. – DSchultz