フェイスブックAPIを使ったサービスを第三者に提供したい。アクセストークンを共有することは可能ですか?サードパーティがサービスにユーザーのアクセストークンを提供した場合、app_idとsecretが要求したアプリと一致しなくても、そのユーザーのデータにアクセスできますか?
他のサードパーティ用に既に完了している場合でも、ユーザーに自分のサイトで別のOAuthフローを実行させる必要がありますか?
ありがとう。
-ケン
フェイスブックAPIを使ったサービスを第三者に提供したい。アクセストークンを共有することは可能ですか?サードパーティがサービスにユーザーのアクセストークンを提供した場合、app_idとsecretが要求したアプリと一致しなくても、そのユーザーのデータにアクセスできますか?
他のサードパーティ用に既に完了している場合でも、ユーザーに自分のサイトで別のOAuthフローを実行させる必要がありますか?
ありがとう。
-ケン
そのユーザーアクセストークンは1つのアプリに対してのみ発行され、他のアプリケーションから簡単に使用できます。
例:
ここでhttps://developers.facebook.com/docs/concepts/login/access-tokens-and-types/それはそれを述べました
当社のデータポリシーは、アプリのアクセストークンを他のアプリと共有することを明示的に禁止しています。ただし、HTTPSを使用して転送が行われる限り、開発者は同じアプリのネイティブ実装とサーバー実装の間でトークンを共有できます(つまり、同じアプリIDを使用します)。
それにかんする:
アクセストークンを共有することは可能ですか?
と、
app_idとsecretが要求したアプリと一致しない場合でも、そのユーザーデータにアクセスできますか?
答えはNo
です。仕様OAuth2セクション10.3から:
アクセストークンの資格情報(および機密アクセストークンの属性)は、転送中および保存時に機密に保つ必要があり、承認サーバー、アクセストークンが有効なリソースサーバー、およびアクセストークンの発行先のクライアント間でのみ共有されます。 。
他のサードパーティ用に既に完了している場合でも、ユーザーに自分のサイトで別のOAuthフローを実行させる必要がありますか?
答えはYes
です。承認サーバーとしてFacebookを使用していて、oauthフローを再度再開した場合、ユーザーは他のアプリ(サードパーティ)を承認するだけで済みます。
各アクセストークンは1つのアプリに対してのみ発行されます。異なるアプリケーションIDで使用することはできません。