Wordpress で、会社がすべてのコンサートを一覧表示するイベント用のカスタム投稿タイプを作成しました。イベントの作成を合理化するために、正確なイベントを会社の Facebook ページに公開するスクリプトも作成しました。これは、イベント編集投稿ページのボタンを押すだけで実行できます...
ボタンが押されると、jQuery Ajax 呼び出しがイベント フィールドの値を使用し、GET変数を介して Facebook イベントを投稿する PHP スクリプトに送信します。それでおしまい。これに関する問題は、誰かがスクリプトの URL を見つけたとしても、Facebook イベントを基本的に問題なく投稿できることです。
これは悪いアプローチですか?部外者が Facebook イベント スクリプトにアクセスできないようにし、Wordpress サイトからの投稿のみを許可するにはどうすればよいですか? これにはノンスを実装する必要がありますか?
更新: Facebook 認証トークンを Wordpress データベースに保存し、Ajax 呼び出しが行われたときにそれをスクリプトに渡し始めました。これは十分に安全ですか?もっと何かするべきですか?