正确的方式将Facebook令牌从客户端发送到服务器

我不知道如何将用户的fb令牌从客户端传送到我的服务器。 我目前的做法如下:

  1. 用户打开网页并login到FB;
  2. 令牌从FB获得;
  3. 将用户客户端redirect到/ api /:令牌
  4. 使用express + node + app.get("/api/:token")来获取服务器上的令牌

然而,这看起来并不安全,因为当我redirect用户时,他的令牌在浏览器上清晰可见,任何人都可以尝试猜测令牌来冒充其他用户。

问:我如何安全地将用户的fb令牌从客户端发送到我的服务器? 我应该使用ajax文章吗?

感谢您的帮助! :d

不用担心,您可以使用appsecret_proof来保护Graph API请求:

 curl \ -F 'access_token=<access_token>' \ -F 'appsecret_proof=<app secret proof>' \ -F 'batch=[{"method":"GET", "relative_url":"me"},{"method":"GET", "relative_url":"me/friends?limit=50"}]' \ https://graph.facebook.com 

当你从你的客户端发送你的密码和用户名到服务器时,也是一样的问题。 你有select

  1. 使用HTTPS
  2. Enctrypt数据在客户端并在服务器解密