Facebook oAuth нужен секретный ключ?

Question

Facebook oAuth требуется ваш секретный ключ? Я думал, ты не должен был делиться этим. Я использую неправильный секретный ключ?

Answer 1

Ваш секретный ключ является общим секретом между вами и Facebook.Таким образом, вы можете отправить его по защищенным каналам (например, SSL)

Answer 2

Ответ, это зависит.Насколько я понимаю, вы спрашиваете о client_secret или app_secret.

Если вы подключаетесь к Facebook на стороне сервера, вы используете client_secret.Это тип разрешения авторизации протокола oauth.

Если вы подключаетесь к Facebook на стороне клиента, вы не хотите включать client_secret, поскольку ваш код может быть декомпилирован, а другие могут получить к нему доступ и запуститьвзаимодействовать с Facebook, используя ваши учетные данные.В этом случае вы используете тип неявного предоставления протокола oauth.Facebook не требует секрета клиента в этом случае, и фактически, их контрольный список страницы безопасности говорит, что никогда не включать секрет клиента: https://developers.facebook.com/docs/facebook-login/security#checklist

Лучший (мнение) истощает oauth с концептуальной точки зрения (а не мельчайший код), который я нашел здесь: https://stormpath.com/blog/what-the-heck-is-oauth (у меня нет ассоциации, как на этой странице).

Надеюсь, это поможет, D

Answer 3

Ключи API находятся в php, и вы нигде не должны их печатать. Просто используйте их для инициализации php facebook api. Вот учебник, который я написал, чтобы написать приложения для Facebook.

http://www.dreamincode.net/forums/topic/153919-facebook-php-api-and-xfbml-on-iframe/

Answer 4

Вы говорите, когда ваша программа запрашивает токен доступа?Если это так, вам нужно предоставить секрет, который вы собираетесь использовать, чтобы он мог быть известен Facebook и связан с токеном доступа, который они выдают вам.Получив токен доступа, вам больше не нужно отправлять свой секрет в Facebook ... просто используйте его для хеширования запросов API.