Насколько плоха публикация секрета приложения на самом деле?

Question

После значительного колдовства у меня наконец-то появился API для работы с балламиОказывается, вы должны установить Enhanced Auth Dialog на disabled, или Facebook игнорирует ваше разрешение publish_actions.Просто на всякий случай, если кто-то еще борется.

Однако я полностью работаю в Javascript API.Сценарии на стороне сервера недоступны.

Единственный способ опубликовать счет - использовать маркер доступа к приложению.Единственный способ получить один из них - использовать секрет приложения, и это должно быть в коде javascript, чтобы мир мог его увидеть.Насколько это плохо?

ТБХ. Мне все равно, если кто-то подделает результаты моих маленьких игр в стиле понг.Хорошо для них, только они и их друзья могут видеть это.Это просто весело.Но что именно может пойти не так, если мой секрет приложения будет опубликован?Может кто-нибудь похитить все приложение?Или это просто плохая практика и ничто не может пойти не так с маленькой мини-игрой?

Это все чисто javascript SDK, поэтому он работает только с токенами доступа пользователя, так что мой первый инстинкт - все нормальноНо я решил спросить ....!

Answer 1

Какие еще разрешения вы используете?Если вы используете "publish_stream", я уверен, что вы можете вообразить махинации, которые могут последовать!Еще хуже, если у пользователя есть как ваш открытый, так и закрытый ключ (что у него будет), он может создать целое приложение-обманщик, которое идентифицирует себя как вы!

Варианты «домена» в Facebook должны предотвратить это, но если есть шанс, что злоумышленник может выполнить XSS-атаку , он может потенциально написать вредоносные приложения, маскирующиеся под вашу игру.

Рассматривали ли вы написание очень простого с google app engine с единственной целью работы с токеном аутентификации приложения?