0

最近の の廃止によりoffline_access、Facebook はアプリが有効期間の短いトークンを有効期間の長いトークンに「拡張」できるようにしています。トークンは、有効期限が切れていない限り「更新」することもできます。[1]

offline_access「拡張」に明示的なユーザーオプトインが必要な場合(古い許可のように)、これはセキュリティ/プライバシーの観点から私には理にかなっています。しかし、アプリはユーザーの操作なしで、透過的に延長および更新できるようです。たとえば、iOS アプリは単純な HTTP リクエストでこれを行います。[2][3][4]

それを考えると、この機能の目的は何ですか? 有効期限が切れるトークンよりも安全/プライベートであるとは思えず、アプリにとっては生涯トークンよりも便利ではないようです (Twitter や LinkedIn など)。

[1] https://developers.facebook.com/roadmap/offline-access-removal/

[2] https://developers.facebook.com/docs/mobile/ios/build/#extend_token

[3] https://developers.facebook.com/docs/reference/iossdk/authentication/

[4] https://github.com/facebook/facebook-ios-sdk/blob/v1.2/src/Facebook.m#L352-L359

4

2 に答える 2

0

これ以上の答えは聞いていませんが、侵害されたトークンが与える可能性のあるダメージを減らしながら(期限切れになるため)、アプリに(ユーザーに繰り返し尋ねる必要なしに)長期間アクセスできるようにしたいと考えています。

侵害されたトークンが実際に問題になっているのかどうかわからないため、それが当てはまるかどうかはわかりません(アプリ開発者は侵害されたトークンを簡単に取り消すことができるため)。

友人が言及した別の可能性は、これがFacebookがアプリの使用に関するより多くのデータ/分析を収集するのに役立つということです。しかし、ユーザーの入力や介入なしにトークンを更新できるように思われることを考えると、それが当てはまるかどうかはわかりません。

したがって、現時点では、アプリが長期間アクセスできるようにしながら、セキュリティをわずかに改善することをお勧めします。

于 2012-05-30T14:06:39.313 に答える
0

さて、私がドキュメントを読む方法:

シナリオ 4: クライアント側の OAuth と新しいエンドポイントによる Access_Token の有効期限の延長

以下の新しいエンドポイントを使用すると、有効期限が切れていない既存のユーザー access_token の有効期限を延長できます。エンドポイントは、有効期間が短いユーザー access_tokens を拡張するためにのみ使用できることに注意してください。有効期限が長い access_token を渡すと、エンドポイントは、有効期限を変更または延長することなく、同じ access_token を単純に返します。

まだ有効な有効期間の長い access_token を更新する場合は、最初に新しい有効期間の短いユーザー access_token を取得してから、以下の同じエンドポイントを呼び出す必要があります。返された access_token には新しい長寿命の有効期限がありますが、access_token 自体は、以前に許可された長寿命の access_token と同じである場合と同じでない場合があります。

トークンを際限なく拡張することはできないように思えます。目標は、私が理解しているように、アプリを使用していないユーザーがアプリに大量に存在するのを防ぐことですが、アプリはまだユーザーのデータにアクセスできます。そのため、FB は、誰も使用していないアプリのユーザー データへのアクセスを削除したいと考えています。

それにかんする

しかし、アプリはユーザーの操作なしで透過的に延長および更新できるようです。たとえば、iOS アプリは単純な HTTP リクエストでこれを行います。[2][3][4]

これは、ユーザーが Facebook にログインしていて、その中で Facebook アプリを使用する iOS アプリを使用している場合にのみ機能します。これは、ユーザーがアクティブで、アプリを使用していることを意味します。ユーザーが 60 日間使用しない場合、そのトークンは期限切れになり、自動的に延長できなくなります。しかし、これは上記の「シナリオ 4」と矛盾しています...何を理解すればよいかわかりません。

于 2012-05-18T18:37:15.077 に答える