Как прокси-сервер сеанса Facebook повышает безопасность?

Question

Я пишу приложение для iPhone, которое использует Facebook Connect.Во время тестирования вы обычно встраиваете секрет своего приложения прямо в код и настраиваете Facebook с помощью этого вызова:

session = [FBSession sessionForApplication:myApiKey secret:myAppSecret delegate:self];

Однако для производственного кода рекомендуется использовать сессионный прокси, а не встраивать секрет вашего приложения вcode:

session = [FBSession sessionForApplication:myApiKey getSessionProxy:myURL delegate:self];

Я вижу, как разглашение вашего «секрета», вероятно, плохо - оно позволяет кому-либо предпринимать действия, которые происходят из вашего приложения - но я не понимаю, какиспользование прокси решает эту проблему.Злоумышленник может просто указать свой код на вашем сеансовом прокси.Прокси не проверяет, что запрос поступил из вашего приложения.Другими словами, вы не отдаете ключи от королевства, но вы даете дневные пропуска абсолютно любому, кто спрашивает!

Так где же дополнительная безопасность?Есть ли у вас дополнительные привилегии, которые дает вам секрет приложения, а не сеанс с прокси?

Answer 1

Отвечая на мой собственный вопрос, да, с секретом приложения связаны дополнительные привилегии. На этой странице указаны методы API, для которых требуется секрет приложения, и методы, которые могут использовать секрет сеанса:

http://wiki.developers.facebook.com/index.php/Session_Secret_and_API_Methods

Answer 2

Из того, что я вижу, глядя на http://wiki.developers.facebook.com/index.php/Session_Proxy

Реализация прокси зависит от вас, поэтому вы можете добавить к ней код для аутентификации клиентов и т. Д.