Facebook的OAuth认证安全

Question

使用JavaScript SDK，使登录请求，一旦我收到来自Facebook，指出用户请求响应“已连接”浩我可以放心，这个要求没有被劫持？

的Facebook提供了验证响应使用应用程序的秘密，但在用于认证的例子应用密钥不会请求。

我要找使用JavaScript SDK或C＃SDK来安全验证Facebook用户的进一步的例子。

如果我没有正确理解应用程序的秘密或OAuth的，请随时提出建议，并解释为什么不需要应用程序的秘密，但是从我读过的文档听起来有必要。

Answer 1

该应用秘诀只用于服务器端非常认真的答复是真实的。它不能用于客户端（即：在JavaScript中），因为这需要将应用程序秘密本身存储在JavaScript代码中，这完全破坏了秘密的目的（即，它不再是秘密）。

所以，是的，你的JavaScript请求可以被劫持，但它其实并不重要。只要你将秘密用于服务器端请求（例如更新MySQL数据库），你应该没问题。