Насколько плоха публикация секрета приложения на самом деле?
После значительного колдовства я наконец-то получил API для работы с баллами. Оказывается, вы должны установить Enhanced Auth Dialog в disabled или Facebook игнорирует ваш publish_actions разрешение. Просто один на один, если кто-то еще борется.
Тем не менее, я работаю полностью в Javascript API. Сценарии на стороне сервера недоступны.
Единственный способ опубликовать счет - использовать маркер доступа к приложению. Единственный способ получить один из них - использовать секрет приложения, и это должно быть в коде javascript, чтобы мир мог его увидеть. Насколько это плохо?
TBH Меня не волнует, кто-то подделывает результаты моих маленьких игр в стиле понг. Хорошо для них, только они и их друзья могут видеть это. Это просто весело. Но что именно может пойти не так, если мой секрет приложения будет опубликован? Может кто-нибудь похитить все приложение? Или это просто плохая практика и ничто не может пойти не так с маленькой мини-игрой?
Это все чисто javascript SDK, поэтому он работает только с токенами доступа пользователей, поэтому мой первый инстинкт - все в порядке. Но я думал, что спросить....!
1 ответ
Какие еще разрешения вы используете? Если вы используете "publish_stream", я уверен, что вы могли бы вообразить махинации, которые могут последовать! Еще хуже, если у пользователя есть как ваш открытый, так и закрытый ключ (что у него будет), он может создать целое приложение-обманщик, которое идентифицирует себя как вы!
Варианты "домена" в Facebook должны предотвращать это, но если есть вероятность, что злоумышленник может провести XSS-атаку, он может написать вредоносные приложения, маскирующиеся под вашу игру.
Рассматривали ли вы написать что-то очень простое с помощью http://code.google.com/appengine/ с единственной целью работы с токеном аутентификации приложения?