問題タブ [app-secret]

かなりのブードゥー教の後、ついにスコア API が機能するようになりました。に設定Enhanced Auth Dialogする必要があるdisabledか、Facebook があなたのpublish_actions許可を無視することが判明しました。他の誰かが苦労している場合に備えて、注意してください。

ただし、私は完全に Javascript API で作業しています。サーバー側のスクリプトは使用できません。

スコアを公開する唯一の方法は、アプリ アクセス トークンを使用することです。それらの 1 つを取得する唯一の方法は、アプリ シークレットを使用することです。これは、世界が確認できるように JavaScript コードに含まれている必要があります。それは正確にどれほど悪いですか？

TBH 誰かが私の小さなピンポン スタイルのゲームのスコアを偽装してもかまいません。彼らにとって良いことです。彼らとその友達だけがそれを見ることができます。ほんの少しの楽しみです。しかし、アプリ シークレットが公開された場合、正確には何が問題になるのでしょうか? 誰かがアプリケーション全体を乗っ取ることができますか? それとも、ちょっとしたミニゲームでうまくいかないだけの悪い習慣ですか?

それはすべて純粋なjavascript SDKなので、ユーザーアクセストークンによってのみ機能するように見えるので、私の最初の直感は大丈夫です。でも聞いてみようと思ったのに…！

こちらのドキュメントによると ( http://developers.facebook.com/docs/authentication/ )。アプリ シークレットは決して共有しないでください。

アプリ シークレットは開発者アプリから入手できますが、誰とも共有したり、配布するコードに埋め込んだりしないでください (これらのシナリオでは、クライアント側のフローを使用する必要があります)。

なんで？誤って、または他の方法で公開された場合、これが悪用される可能性はありますか?

これが発生した場合、どのような懸念が必要ですか? 誰かがこの情報を使って何ができるでしょうか?

認証プロセスの一環として選択したサイト URL によって、自分は安全だと思いますか?

ありがとう

現在、coldfusion ファイルから自分の Facebook ページに直接投稿する http 投稿リクエストを行っています。現在、ページの通常の ACCESS_TOKEN で完全に機能しています。私の問題は、ACCESS_TOKEN の寿命を延ばすために、ページの取得方法がわからない APP_SECRET が必要だということです。任意のヒント？それが可能であることを本当に願っています。

私は Android 用に開発しており、現在認証に facebook-android-sdk を使用しています。私が見ることができることから、そのコードではアプリの秘密が使用されていません。これは素晴らしいことです。

Facebook が offline_access パーミッションを削除しようとしているので、アクセス トークンを拡張する必要があります。残念ながら、sdk の extendsAccessToken メソッドはスタンドアロンではなく、公式の Facebook アプリケーションをインストールする必要がありますが、これは私には受け入れられません。

そこで、extendAccessToken を直接実装することにしました (iphone SDK の実装と同様)。問題は、アクセス トークンを拡張するための HTTP 要求が client_secret フィールドを必要とすることです。これは、コード自体にアプリ シークレットを配置する必要があることを意味します。これは、簡単にリバース エンジニアリングできる Android/Java アプリケーションにとって、まったく安全とは言えません。

代替手段はありますか？

アプリの 1 つがハッキングされ、一部のウォール投稿/写真がアプリに代わって投稿されました。ハッカーが何らかの形でアプリから access_token を取得したのではないかと疑っています。

このセキュリティ侵害を阻止する最善の方法は何ですか?

そのアプリのすべてのアクセス トークンを無効にします。しかし、問題はどのようにですか？アプリ シークレットを変更すると、この場合に役立ちますか?

ありがとう。

私はこの新しいポリシーを見て、少し心配しています:

*(Facebook.com とモバイルのゲームは、Facebook.com 以外のデスクトップ Web ゲームと同じアプリ ID を共有してはなりません)

同じアプリ ID とアプリ シークレットを共有する 3 つのアプリがあります。Facebook ログインを使用する Web サイト、対応する Facebook アプリ、および fb 接続を使用する対応する iOS アプリです。

これで、Web サイトのアプリ ID とアプリ シークレットを変更しました。これは明らかです。

iOSアプリのアプリIDとアプリシークレットも変更する必要があるのか​​ 、それともfbアプリとiOSアプリの間で共有し続けることができるのかわかりません.

誰かが私を助けることができますか？

私の質問は、この質問に関連していますが、正確ではありません。

私は現在、ビジネスディレクトリのWebサイト（Yelpに似ています）に取り組んでいます。このサイトでは、企業が独自のページを持っています。このアプリを呼びましょうDIRECTORY_APP。

企業は、最新のFacebookステータスの更新を、私たちのディレクトリでホストされているページに表示したいと思うかもしれません。という名前のビジネスがあるとしましょうBIZ_1。これらのページは公開ページであると想定しています。

どうやらFacebookGraphAPIはこの目的に使用できます。だから私はFacebookにリクエストを送信して最新のステータスアップデートを取得することができますBIZ_1：

ただし、これをクライアント側から使用すると、Webサイトのアクセストークンが公開されるため、これは合理的な解決策ではありません。

前述の質問で、Anatolyは、最初にこのリクエストを送信することでアクセストークンを取得できると述べています。

ただし、誰かがネットワークログを調べると、Webサイトのアクセストークンも公開されます（これは正しいですか、それとも別の種類のアクセストークンですか？）。このソリューションは、Webサイトのアプリの秘密も公開します（これは安全ですか？）。

要約すると、閲覧しているユーザーに最初にFacebookにログインするように依頼することなく、クライアント側からWebページの最新のステータス更新を取得できる安全な方法は何でしょうか。

私のフォーラムのアプリケーション (代替登録情報) は、

Facebook アプリ ID; - 私はこれを持っています

フェイスブックの秘密; - 私はこれを持っています

Facebook ページの URL; - これは何ですか？

Facebook プラグインのデフォルト言語。英語 (イギリス)

サイト ドメイン; - これは何ですか？

ログインしようとすると、API エラー 191 が表示されますか?

アプリケーションで Dropbox クライアント シークレットを配布しても安全ですか?

たとえば、オープン ソース プロジェクトをリリースしたい場合、クライアント シークレットをアプリケーションに埋め込む必要があります (Dropbox は oauth 1.0 を使用しているため)。

虐待の可能性なしにこれを行うにはどうすればよいでしょうか?