Кроме того факта, что при использовании клиентского потока Facebook вы сразу получаете токен доступа, а при использовании серверного потока вы сначала получаете код авторизации, который вы должны обменять на токен доступа. В чем разница междудва потока и когда я должен использовать каждый из них?
, точнее, могу ли я использовать поток клиентов и при этом иметь возможность безопасно входить в систему пользователя / приложения?
На первый взглядЯ думал, что могу взять access_token и идентификатор, полученный на клиенте (через клиентский поток), отправить их на мой сервер, а затем, если вызов API api для этого идентификатора и токена не прервется, я могу предположить, что имею дело с этимпользователя и войдите в него на моем сайте на основе его идентификатора FB.
После второй мысли мне кажется, что если я не буду следить за потоком серверов, то нет способа безопасно использовать идентификатор клиента & access_token дляавторизировать пользователя в моем приложении / сайте.
Причина, по которой я это говорю, в том, что другой (хакерский) владелец приложения «делит» пользователя с моим приложением.может взять access_token и и ID, который он (незаконно) получил для пользователя в своем процессе авторизации, и подделать звонок на мой сайт с этими данными, заставив меня войти в него, как если бы он был этим пользователем.
Являюсь ли яздесь чего-то не хватает?
Разве это не должно быть написано большими красными буквами в первом абзаце https://developers.facebook.com/docs/authentication/?