AppSecret с Windows Phone 7

Question

Перемещение вопроса из CodePlex в Stackoverflow, где это действительно необходимо.

Я вижу, что facebook генерирует AppId и AppSecret.В приведенном примере AppId встроен в код, однако в нем не упоминается об использовании AppSecret.Разве это не должно быть указано где-то в коде для подписи запросов?Чего мне не хватает?

Спасибо,

WP7Noob

Ответ от DevTheo

То, как мы получаем токен доступа, обходит секрет.Получив токен доступа, вы можете делать все, что вам нужно.Вы, конечно, можете добавить его к созданию приложения FacebookApp (но я уверен, что то, как мы делаем то, что вам не нужно, секрет).

Jay

Answer 1

Мы не используем секрет приложения в процессе аутентификации WP7, потому что мы не думаем, что лучше хранить этот секрет в приложении.Вы должны использовать секрет приложения только на своем сервере, где это безопасно.Я не уверен, почему SDK для iOS или Android используют их, потому что это действительно противоречит лучшим рекомендациям Facebook.(И да, я понимаю иронию того, что Facebook нарушает свои собственные правила, но они делают это постоянно).

Кроме того, способ, которым OAuth работает на WAP-устройстве (как указал DevTheo), нам не нужен секрет для получения токена доступа.

Как говорится, вы правы, что можетене проверять подлинность токена при его получении.Но это действительно не проблема.Если кто-то подделывает токен, он не будет работать.