Web アプリのバックエンドにユーザー用の有効期間の長いアクセス トークンがある場合、それを使用して有効期間の短いアクセス トークンを作成し、クライアント (Web ページ) に渡して Facebook API とやり取りすることはできますか?
user_photos
さらに良いことに、サーバー上の長期アクセス トークンにさらに多くのアクセス許可がある場合でも、有効期間が短くスコープが制限されたもの (たとえば、スコープのみ) を作成できますか?
Web アプリのバックエンドにユーザー用の有効期間の長いアクセス トークンがある場合、それを使用して有効期間の短いアクセス トークンを作成し、クライアント (Web ページ) に渡して Facebook API とやり取りすることはできますか?
user_photos
さらに良いことに、サーバー上の長期アクセス トークンにさらに多くのアクセス許可がある場合でも、有効期間が短くスコープが制限されたもの (たとえば、スコープのみ) を作成できますか?
1 つのオプションは、ログインしているユーザーのために Facebook API をプロキシすることです。保存されている長期アクセス トークンを使用して Facebook を呼び出す特定のエンドポイントをサイトに作成します。
これは機能し、セキュリティの観点からは良さそうに聞こえますが、柔軟性がほとんどないため、より多くの作業が必要になります。
1 つのオプションは、この API フローに従って、サーバーの長期アクセス トークンを使用して新しい長期アクセス トークンを作成し、ページ上の JavaScript に渡すことです。
それは機能しますが、完全なアクセス許可を持つ長寿命のトークンを配布するという考えは好きではありません。