0
たとえば、ユーザーの画像を取得しているとします。クライアントコードはmysite.com/api/getProfilePicture?user=000123と呼ばれ、私のアプリはロードする適切な画像のURLを送り返します。内部的には、/v2.6/{user_id}/pictureへのAPIコールは文字通り受信したユーザーパラメータを文字列に入れるだけです。私はこのサーバサイドを維持して、クライアントがプロフィール画像のどこから来るのか心配する必要がないようにしたいと思います。クライアントから提供されたFacebookのユーザーIDが実際に有効なユーザーIDかどうかを確認する必要がありますか?
セキュリティ上の問題ですか?悪意のあるユーザーがmysite.com/api/getProfilePicture?user=destructiveEndpointに電話をかけて/v2.6/destructiveEndpoint/pictureを実行したことがありますか?または、そのような破壊的なエンドポイントはありません(アプリのシークレットはここで使用されていないため)。 が厄介な終端点であるである場合、私はそれを使用する前に正しいユーザーIDを取得していることを確認する必要があります。だから、
基本的に誰かがコンテンツを削除/変更するために操作することができます彼ら自身だけであるので、何の意味もありません。正しい? クッキーのクライアントサイドからトークンを取り出してリクエストすることを防ぐための本当の方法はありません。そして、私はそれが本当に問題ではないと思います。 – Paulywog
彼らは自分のユーザーアクセストークンだけを持っている限り、自分/自分のアカウントに影響を与えるものを実行することができます。 /ドキュメントには、アクセス権トークンを盗んで人が何をする可能性があるのか、アプリの設定でアプリの秘密の証明を要求することで、APIリクエストのセキュリティを保護する章があります。 https://developers.facebook.com/docs/graph-api/securing-requests – CBroe