在UI javascript代码中嵌入facebook安全吗？

Question

Facebook文档说，通过运行以下代码，我们可以在应用程序中初始化FB。代码来自文档，但这也需要将'appId'作为参数传递。

问题：在单个页面应用程序的客户端Javascript代码中嵌入'appId'真的安全吗?还是应该在服务器端进行处理？

FB.init({
    appId      : '{your-app-id}',
    status     : true,
    xfbml      : true,
    version    : 'v2.4' // or v2.0, v2.1, v2.2, v2.3
  });

更新:正如@KK所指出的那样，文档中提到了app-secret。因此，我猜想在浏览器中使用app-id是安全的，但是我应该保证app-secret的安全。当我检查我的facebook仪表板时，我可以看到我有两个不同的ids用于app-id和app-secret。

即使我将app-id保存在服务器上并通过服务器重定向用户，应用程序id仍然对用户是可见的，因为这里的文件说重定向url是一个GET请求，所以所有参数都是可见的。

Answer 1

App发布是完全安全的(无论如何，它在登录过程中都是可见的)，而应用程序秘密被称为“秘密”是有原因的。有了应用程序ID和应用程序秘密，你就已经有了一个应用程序访问令牌( App )。使用Access令牌，您可以更改一些应用程序设置：https://developers.facebook.com/docs/graph-api/reference/application#Updating

为了提高安全性，您应该激活应用程序设置中的“需要应用程序秘密”，并使用appsecret_proof进行服务器调用：

• 设置：https://developers.facebook.com/apps/[app-id]/settings/advanced/
• 保护API调用：https://developers.facebook.com/docs/graph-api/securing-requests
• 一般信息：https://developers.facebook.com/docs/facebook-login/security

Answer 2

在客户端JS代码中嵌入appId是安全的，因为appId不会向任何不知道FB用户名和密码的人传递关于应用程序/FB配置文件的任何信息。查看url https://developers.facebook.com/apps/{ you id}/，如果您插入appid并将url粘贴到浏览器中，它将重定向到FB登录页面。但是，不要在应用程序中包括App_secret。有关更多信息，请查看链接。