1

私の質問は、この質問に関連していますが、正確ではありません。

私は現在、ビジネスディレクトリのWebサイト(Yelpに似ています)に取り組んでいます。このサイトでは、企業が独自のページを持っています。このアプリを呼びましょうDIRECTORY_APP

企業は、最新のFacebookステータスの更新を、私たちのディレクトリでホストされているページに表示したいと思うかもしれません。という名前のビジネスがあるとしましょうBIZ_1。これらのページは公開ページであると想定しています。

どうやらFacebookGraphAPIはこの目的に使用できます。だから私はFacebookにリクエストを送信して最新のステータスアップデートを取得することができますBIZ_1

https://graph.facebook.com/BIZ_1_PROFILE_ID/posts?
        access_token=DIRECTORY_APP_ACCESS_TOKEN
        &callback=callbackName

ただし、これをクライアント側から使用すると、Webサイトのアクセストークンが公開されるため、これは合理的な解決策ではありません。

前述の質問で、Anatolyは、最初にこのリクエストを送信することでアクセストークンを取得できると述べています。

https://graph.facebook.com/oauth/access_token?
        client_id=YOUR_APP_ID&client_secret=YOUR_APP_SECRET
        &grant_type=client_credentials

ただし、誰かがネットワークログを調べると、Webサイトのアクセストークンも公開されます(これは正しいですか、それとも別の種類のアクセストークンですか?)。このソリューションは、Webサイトのアプリの秘密も公開します(これは安全ですか?)。

要約すると、閲覧しているユーザーに最初にFacebookにログインするように依頼することなく、クライアント側からWebページの最新のステータス更新を取得できる安全な方法は何でしょうか。

4

3 に答える 3

0

グーグルで答えを見つけました。要するに、答えはノーです。

そしてここにFacebookからの抜粋があります:

セキュリティのベストプラクティス

アプリシークレットとアプリアクセストークン

アプリシークレットは、アクセストークンを生成するために一部のログインフローで使用され、シークレット自体は、信頼できるユーザーのみにアプリの使用を保護することを目的としています。シークレットを使用すると、アプリの任意のユーザーに代わってAPIリクエストを行うことができるアプリアクセストークンを簡単に作成できます。これにより、アプリシークレットが危険にさらされないことが非常に重要になります。

したがって、アプリの開発者以外の人がアクセスできるコードには、アプリシークレットまたはアプリアクセストークンを含めないでください。これは、クライアント側のコード(HTMLやJavascriptなど)や、逆コンパイルされる可能性のあるネイティブアプリ(iOS、Android、Windowsデスクトップアプリなど)のように、セキュリティで保護されていないすべてのコードメソッドに適用されます。

最高のセキュリティを提供するために、アプリアクセストークンはアプリのサーバーから直接使用することをお勧めします。ネイティブアプリの場合、アプリが独自のサーバーと通信し、サーバーがアプリアクセストークンを使用してFacebookにAPIリクエストを送信することをお勧めします。このため、アプリダッシュボードの[詳細設定]の[アプリの種類]が[ネイティブ/デスクトップ]に設定されている場合、ネイティブアプリにはバイナリにアプリシークレットまたはアプリアクセストークンが含まれていると見なされ、続行するには、アプリアクセストークン。APIは、アクセストークンが提供されていないかのように動作します。

アプリシークレットが危険にさらされている場合は、アプリダッシュボードの基本設定ですぐにリセットする必要があります。

于 2013-01-12T13:14:17.393 に答える
0

ブラウジングユーザーに最初にFacebookにログインするように依頼することなく、クライアント側からWebページの最新のステータス更新を取得できます。

ログインせずにそれを行うことはできません。

そして、アクセストークンは公開されていないと思います。

于 2013-01-10T06:46:45.463 に答える
0

たぶん、ここでの賢いトリックは、ソーシャルプラグインを使用することです。Like Boxは、問題なく必要な処理を実行します。しかし、それは大きくカスタマイズ可能ではありません。それでも、ページ上で見栄えを良くすることは可能です!

また、あなたが言及したログインの問題をスキップします。

于 2013-01-10T23:59:49.610 に答える