我正在Android应用中构建社交FB登录。我向用户询问权限,在他们允许App之后,它为我提供了一个Long Access令牌,该令牌的有效期为60天。现在,我将此数据(social_id和auth_token)发送到我的服务器,在那里我阅读了用户的所有详细信息。
我的问题是,一旦我拥有用户的长访问令牌,我可以控制用户的帐户吗?因为现在我有它的长访问令牌,我可以每天从我的服务器刷新,因此不时地延长它的生命周期。这是怎么回事?如果它像这样工作,那么为令牌提供到期时间的用途是什么?
即使他退出应用程序,我仍然可以在不让用户知道的情况下刷新其令牌。简而言之,我可以完全控制他/她的帐户。我对么?如果我错了,请纠正我!