Создание сообщения путем отправки HTTP-запроса в Facebook API

Question

Я хочу опубликовать на своей странице в Facebook, отправив HTTP POST. Я делаю это путем создания постоянного маркера access_token, который используется для публикации на моей странице в Facebook. Проблема в том, что access_token может быть легко взят / проверен с помощью firebug или любого другого инструмента (так как он жестко запрограммирован). Как я могу отправить его таким образом, чтобы он был скрыт от других.

$appID = 'MY_APP_ID';
$fb_page_id = 'MY_PAGE_ID';
$fb_page_access_token = 'PERMANENT_ACCESS_TOKEN';

$html = '<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">'
      . '<html><body>'
      . '<div id="fb-root"></div>'
      . "<script type=\"text/javascript\">
           function post_to_fb(commentText, commentUsername, commentLink) {
            var logoName = get_logoname_from_link(commentLink);
            var strURL = 'https://graph.facebook.com/" . $fb_page_id . "/feed';
            var params = 'link=' + commentLink + '&name=Brandchamp+-+' + logoName + '&message=[' + commentUsername +'+commented on ' + logoName + ':]+' + commentText + '&access_token=" . $fb_page_access_token . "';

            var xmlHttpReq;
            xmlHttpReq = new XMLHttpRequest();
            xmlHttpReq.open('POST', strURL, true);
            xmlHttpReq.setRequestHeader('Content-type','application/x-www-form-urlencoded');
            xmlHttpReq.send(params);
           }

            window.fbAsyncInit = function() {
               FB.init({
                 appId: " . $appID . ",
                 status: true,
                 cookie: true,
                 xfbml: true,
               });

              FB.Event.subscribe('comment.create', function(response) {
                var commentQuery = FB.Data.query('SELECT fromid, text FROM comment WHERE post_fbid=\'' + response.commentID + '\' AND object_id IN (SELECT comments_fbid FROM link_stat WHERE url=\'' + response.href + '\')');
                var userQuery = FB.Data.query('SELECT name FROM user WHERE uid in (select fromid from {0})', commentQuery);

                FB.Data.waitOn([commentQuery, userQuery], function () {
                  var commentRow = commentQuery.value[0];
                  var userRow = userQuery.value[0];

                  var commentText = commentRow.text;
                  var commentUsername = userRow.name;

                  post_to_fb(commentText, commentUsername, response.href);
                });

             });


           };
           (function() {
             var e = document.createElement('script');
             e.async = true;
             e.src = document.location.protocol + '//connect.facebook.net/de_DE/all.js';
             document.getElementById('fb-root').appendChild(e);
           }());
        </script>"
      . '</body></html>';
print $html;

Answer 1

Просто не позволяйте пользователям видеть ваш токен доступа: вам нужно создать какой-то прокси-сервер, который будет публиковать сообщения на вашей серверной стене

Answer 2

В чем проблема, если пользователь, предоставляющий вам разрешение, может увидеть свой собственный access_token в firebug.Firebug только на стороне клиента.Кроме того, официальный Javascript SDK предоставляет клиенту access_token.Я не думаю, что это плохо.

Пользователь всегда может увидеть свой пароль :).Что в этом плохого?

Вы должны позаботиться о прослушивании доступа по сети.Как @Juicy предложил использовать https, чтобы преодолеть эту ситуацию.

Редактировать после прочтения комментария:

В вашей ситуации я бы предложил не использовать javascript / ajax.

Кроме того, я бы порекомендовал использовать sdk поверх собственного php-кода.SDK использует все меры безопасности, которые должны быть приняты.

Официальный php sdk:

https://github.com/facebook/facebook-php-sdk