私は$facebook->getAccessToken()
を使用しようとしていましたが、getUserAccessToken()
の結果を返せない場合は、ユーザーにアプリケーションアクセストークン(getApplicationAccessToken()
経由)を与えるようなコードを見ていました。私が正しいとすれば、それはユーザにgetAccessToken()
からのアクセストークンを渡すと、特定の状況下でAPI秘密を返す可能性があることを意味します。PHP SDKで安全にユーザーにaccess_tokenを与えることはできますか?
安全にアクセストークンを取得するにはどうすればよいですか?
セッション情報が無効であってもgetUserがユーザーIDを返すことがあります。 –
私はこれも最近気づいた。私はあなたが同じことを見つけたかどうか分からない:JSクライアントは有効なユーザーIDを含む無効な "コード"(このフローでユーザーアクセストークンを交換するために必要なもの)を含むcookieにsigned_requestをドロップすることができます。 FBクライアントがこれを処理する方法のバグのようです。 – bismark
私はこれもバグだと思います。期限切れのセッションがあった人に、私は誤ってクライアントシークレットを漏らしました。幸いにも、私はそれをリセットすることができました(そして私はしました)が、今このgetuserの問題があります。セッションがうまくいけば、少なくとも私のアプリはうまくいきます。 –