关于Facebook应用程序机密以及有多少单独的连接(或者#34;应用程序")我是否可以使用相同的应用程序ID /机密?例如,我正在创建一个SharePoint自动托管的Facebook应用程序。自动托管意味着我的应用程序的服务器组件将自动部署到每个SharePoint客户的Azure。没有办法(我知道,显然任何东西都在某种程度上是可以攻击的)用户将能够获得应用程序ID或秘密,所以我不关心它的安全方面,或者分享秘密。但是,可能有数千个个人应用程序可能使用相同的应用程序ID /密码连接到Facebook。这是一个问题吗?
顺便说一下,我不一定在谈论带宽/流量阈值,我更关心使用相同ID /机密的单个连接的数量。我发现该政策规定:"如果您超过或计划超过以下任何阈值,请与我们联系,因为您可能需要遵守其他条款:(> 5M MAU)或(> 100M API调用)每天)或(每天>> 50万次展示)。"这不是我直接关注的问题。
答案 0 :(得分:0)
However, potentially thousands of individual apps could be using the same app id/secret to connect to Facebook. Is this an issue?
App访问令牌用于代表应用程序进行API调用,以证明代表应用程序本身进行调用 - 典型用例正在执行管理操作,例如从用户配置文件卸载应用程序或阻止它们,更新应用程序设置,向授权用户发送通知,阅读有关应用程序付款交易的财务数据等。
如果您计划使用应用访问令牌进行阅读,我怀疑您误解了Facebook API中使用的访问模式 - 您应该代表已授予您应用权限的特定Facebook用户进行API调用访问和更新他们的数据 - 在您广泛分发的代码中嵌入应用程序ID和秘密是您的应用程序用户的安全问题,将快速达到API速率限制,如果应用程序关闭将破坏您的客户端代码的所有实例立即
我强烈建议您阅读登录文档,并确保使用用户访问权限来请求用户数据 - https://developers.facebook.com/docs/facebook-login/