0

ユーザーのFacebookアカウントの写真を表示するアプリがあります。私は現在、これを行うためにfb_graph gemを使用しています(これはRubyプロジェクトです)。

URLは問題なく取得できますが、Facebookアカウントからログアウトした場合に、ユーザーが私のページに表示されているこれらの写真を表示できるかどうかがわかりません。URLは次のようになりますhttp://sphotos-d.ak.fbcdn.net/hphotos-ak-prn1/<id>.jpg

ただし、明らかな回避策があります。ユーザー用に持っているアクセストークンをURLに追加できるので、ユーザーは私と同じ写真を表示する権限を持っています: `` http://sphotos-d.ak.fbcdn.net/hphotos-ak-prn1 / .jpg?access_token=`。

このような質問http://developers.facebook.com/docs/authentication/client-side/は、クライアント側を使用する最後の手段であるべきだと示唆していaccess_tokenますが、私はそうしなければならないと思います(すべての写真がそうなるわけではないので)公衆)。

そして、この質問Facebookアクセストークン:サーバー側とクライアント側のフローは、トークンをサーバー側で取得しているため、60日間続くと言っています。なので、使い方には気をつけたいです。

次に、2つの質問があります。これは写真を表示するために機能しますか?また、露出しないより良い方法はありaccess_tokenますか?

4

3 に答える 3

0

https://sphotos-a.xx.fbcdn.net/hphotos-ash3/168119_10150146071831729_5116892_n.jpgにアクセスできますか?Facebookのcdnにあるからだと思います。このリンクを取得するのは偶然ではありません。この手順を実行するには、アクセストークンと「user_photos」権限(既に実行しているようです)を使用して、ユーザーのアルバムと写真にアクセスする必要があります。

技術的に言えば、本番環境では問題ないはずです(Facebookがcdn URLを変更しない限り、これは非常にありそうもないようです)。

編集
言及するのを忘れた。ユーザーのアクセストークンを公開することは良い習慣ではありません(Igyが述べたように)。ハッカーは、アクセストークンを使って悪意のあることを行うために、アプリIDとクライアントシークレットを必要としますが、不必要なリスクを冒したくありません。詳細については、この質問をお読みください。

于 2012-12-07T00:16:59.660 に答える
0

いかなる状況でも、ページ上のコンテンツのURLにアクセストークンを配置しないでください。そうしないと、サードパーティのサイトから取得したリソースがリファラーヘッダーのユーザーのアクセストークンを公開することになります。

APIから写真用に取得するURLには、アクセストークンなしで直接アクセスできる必要があります

于 2012-12-04T18:15:46.610 に答える
0

私はまだその質問を正しく理解していません。

次のようなリソースの場合:http://sphotos-d.ak.fbcdn.net/hphotos-ak-prn1/blah静的URLであり、時々変更されることはなく、他の人が見るためのアクセストークンは必要ありません。URLを取得するにはaccess_tokenが必要です。

クライアント側で生成されたトークンは60日間有効であるか、Extended Expiry Access Tokensと呼ばmust notれ、トークンを公開することでユーザーのセキュリティを危険にさらすことは明らかです。

私はあなたの質問の一部を見逃しましたか?

于 2012-12-11T01:57:43.273 に答える