正确的方式将Facebook令牌从客户端发送到服务器
我不知道如何将用户的fb令牌从客户端传送到我的服务器。 我目前的做法如下:
- 用户打开网页并login到FB;
- 令牌从FB获得;
- 将用户客户端redirect到/ api /:令牌
- 使用express + node +
app.get("/api/:token")
来获取服务器上的令牌
然而,这看起来并不安全,因为当我redirect用户时,他的令牌在浏览器上清晰可见,任何人都可以尝试猜测令牌来冒充其他用户。
问:我如何安全地将用户的fb令牌从客户端发送到我的服务器? 我应该使用ajax文章吗?
感谢您的帮助! :d
不用担心,您可以使用appsecret_proof
来保护Graph API请求:
curl \ -F 'access_token=<access_token>' \ -F 'appsecret_proof=<app secret proof>' \ -F 'batch=[{"method":"GET", "relative_url":"me"},{"method":"GET", "relative_url":"me/friends?limit=50"}]' \ https://graph.facebook.com
当你从你的客户端发送你的密码和用户名到服务器时,也是一样的问题。 你有select
- 使用HTTPS
- Enctrypt数据在客户端并在服务器解密