我正在编写一个广泛使用 Facebook 的 iPhone 应用程序。现在,我正在使用 iPhone Facebook SDK 获取访问 token 。这会返回一个标准访问 token 。
我在服务器端发送此 token 并成功将其用于许多查询。但是,有些查询需要使用应用程序 key 签名的访问 token ,由于安全漏洞,iPhone 应用程序 sdk 无法在客户端执行(特别是我正在尝试使用仪表板方法)。
所以我的问题是:有什么方法可以让 Facebook 升级这个 iPhone 访问 token 服务器端以包含签名的 secret 吗?还是我必须从一开始就验证服务器端才能做到这一点?
文档说,使用“服务器端流程”方法,一旦用户允许您的应用程序,您就会获得服务器生成的代码,您必须将其与您的应用程序 key 一起发回,以获取您的访问 token 。 iPhone SDK使用'Client-side flow'方法,似乎跳过了这一步,所以我不确定如何获得这段代码。所以我想问题归结为,是否可以将通过“客户端流”方法获得的 token 升级为可以完全在服务器端使用的 token 。
最佳答案
答案是否定的。
用户 token 和应用 token 是不同的,您不能将一个转换为另一个。
因为你有一个客户端应用程序,我不建议你嵌入你的应用程序 secret (正如你指出的那样)。
对于您的应用程序,我建议您在您控制的服务器上创建一个网页,以获取和使用应用程序 token 来发出您想要的调用。
关于iphone - Facebook:发送 iOS 访问 token 服务器端并使用 App Secret 签名,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6338189/