Существуют ли какие-либо проблемы с объемами, касающимися Facebook-приложения и приложения, и сколько отдельных «приложений» я использую один и тот же идентификатор/секретный код приложения?

Question

Существуют ли какие-либо проблемы с объемом секретности Facebook и сколько отдельных подключений (или «приложений») я могу использовать один и тот же идентификатор/секретный код приложения? Например, я создаю приложение Facebook с автоматическим размещением SharePoint. Автоматическое размещение означает, что серверный компонент моего приложения будет автоматически развернут для Azure каждого клиента SharePoint. Нет никакого способа (который я знаю, очевидно, что что-либо взломано до некоторой степени), что пользователь сможет получить идентификатор приложения или секрет, поэтому меня не интересует его аспект безопасности или разделяет секрет. Однако потенциально тысячи отдельных приложений могут использовать один и тот же идентификатор/секретный код приложения для подключения к Facebook. Это проблема?

Кстати, я не обязательно говорю о пороге пропускной способности/трафике, меня больше интересует количество отдельных подключений, использующих один и тот же идентификатор/секрет. Я понимаю, что в политике говорится: «Если вы превысите или планируете превысить любой из следующих пороговых значений, пожалуйста, свяжитесь с нами, так как вам могут быть предоставлены дополнительные условия: (> 5M MAU) или (> 100M API-вызовов в день) или (> 50 миллионов показов в день). Это не моя непосредственная забота.

Answer 1

However, potentially thousands of individual apps could be using the same app id/secret to connect to Facebook. Is this an issue?

да, абсолютно да.

Маркер доступа к приложениям предназначен для осуществления вызовов API от имени приложения, чтобы доказать, что вызовы выполняются от имени самого приложения - типичные случаи использования выполняют административные действия, такие как удаление приложения из профиля пользователя или блокировка их, обновление настроек приложения, отправка уведомлений авторизованным пользователям, чтение финансовых данных о транзакциях транзакций приложения и т. д.

Если вы планируете совершать звонки с помощью токена доступа к приложениям, я подозреваю, что вы недооцениваете доступ модель, используемая в API Facebook - вы должны делать вызовы API от имени определенных пользователей Facebook, которые предоставили ваше разрешение на доступ к вашим данным и обновили их данные. Встраивание идентификатора приложения и секретности в код, который вы широко распространяете, - это безопасность проблема для пользователей вашего приложения, быстро ударит ограничения скорости API и, если приложение будет отключено, немедленно разорвет все экземпляры вашего клиентского кода.

Я настоятельно рекомендую вам прочитать документацию для входа и убедитесь, что вы используете маркеры доступа пользователю запрашивать данные пользователя - https://developers.facebook.com/docs/facebook-login/

Answer 2

Как один хост/отобразить канал Facebook (скажем, последние пять сообщений) на веб-странице ? Не будет аутентификации пользователя, просто appid/appsecret (oAuth). Если использование appid/appsecret не является тем, что предназначено, как это сделать. Вот пример того, что мне хотелось бы (этот на Wordpress): http://bit.ly/GBXVFn.

Thanks, Mark