外部 API を使用して、このアプリを使用するユーザーの関連データを取得する Facebook アプリがあるとします。API は、access_tokenこの関連データを取得するためにユーザーを必要とします。access_tokenAPI は別のサービスであるため、関連データを取得するには Facebook で提供する必要があります (access_tokenユーザーがログインしているドメインとは別のドメインで実行されるため、ログインしているユーザーの を取得できません)。
APIに を渡す 1 つの方法はaccess_token、HTTP 要求を行うことです (同期か非同期かは関係ありません)。
問題は、これを傍受した場合、誰かが何ができるかということですaccess_token(明らかに、HTTP 要求で傍受される可能性があるため)。不正使用によって何らかの形で保護されているのでしょうか、それとも、個人が望むものについて Facebook API を照会するために誰でも使用できるのでしょうか?