ここで説明されていることの逆を行いたい: Can I use oauth token at client side?
ハイパーリンクで Facebook Graph API ルックアップを実行するサービスを構築しています。Facebook Graph API では、何かを検索するために常に OAuth トークンが必要になることがあります。
クライアントが自分の OAuth トークンを自分のサービスに渡して、クライアントに代わって Facebook Graph API を実行できるようにすることに問題はありますか? (この場合、クライアントとの接続は HTTPS 経由になります。)
Google は推奨しませんが、ここで説明する混合アプローチがあります。
Google+ サインインのすべての利点を活用するには、ユーザーが JavaScript API クライアントを使用してクライアント側でアプリを承認し、特別な 1 回限りの承認コードをサーバーに送信する、ハイブリッド サーバー側フローを使用する必要があります。 . サーバーはこの 1 回限りのコードを交換して、Google から独自のアクセス トークンと更新トークンを取得し、サーバーが独自の API 呼び出しを行うことができるようにします。これは、ユーザーがオフラインのときに実行できます。この 1 回限りのコード フローには、純粋なサーバー側フローとサーバーへのアクセス トークンの送信の両方よりもセキュリティ上の利点があります。