我有一个具有offline_access权限的应用程序,我通过php sdk获取访问 token 并将访问 token 存储在我的数据库中。
此应用程序通过与 Facebook 交互的网站运行,但我们不要求用户在使用我们的网站时登录 Facebook。也就是说,登录并使用我们的网站不需要登录 Facebook。这就是我们使用offline_access权限的原因。
现在的问题是:如何在 javascript 中使用访问 token ?
显而易见的解决方案是通过 php echo 在网页中插入访问 token ,但这种解决方案是不安全的,因为我们目前不通过 https 提供页面,因此 token 以纯文本形式传输。此外,如果某个用户的计算机无人看管,攻击者只需查看网站源代码就可以使用它并获取 token 。
有没有一种简单的方法可以安全地使用此访问 token ?或者我错过了什么?
最佳答案
通过 JavaScript 安全地使用访问 token 的唯一方法是对 PHP 脚本执行 AJAX 请求。您永远不会希望该 token 在浏览器中 float 。
关于javascript - 将 facebook 访问 token 与 Offline_access 和 javascript 结合使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8646228/