只有访问公共信息的API访问令牌是否需要保密？

Question

我发现一个Instagram基本显示API访问令牌泄漏在一个网站上。此标记属于本网站的Instagram营销帐户。利用我的调查技巧，下面是我所掌握的信息。

• 此权证有效期为3个月。
• 此令牌正在使用(我看到它在上周的有效期即将结束时被刷新)，尽管我找不到它的使用位置。
• 此令牌是用户访问令牌，用于从基本显示API查询数据。这里的医生：https://developers.facebook.com/docs/instagram-basic-display-api
• 此访问令牌仅读取对公共信息的访问:(
• 如果使用过多，此令牌将暂时受到限制。

除了速率限制之外，您知道这个访问令牌对我有什么影响吗？

此外，如果这个令牌需要保密，我们如何保护它呢？

Answer 1

您的问题非常具体地说明了“Instagram Basic Display API(万岁生命访问令牌)”的用法，它不仅限于显示/访问配置文件的公共信息。

您可以每天执行刷新访问令牌，这将导致DOS攻击。(只能使用最新的访问令牌访问用户节点和媒体节点 )。超过利率限制也会导致DOS攻击。如果您可以获得图API令牌 :)，您可以控制整个帐户：)

不管它的使用情况如何，要保护的每个API访问令牌以及如何保护取决于您的应用程序体系结构。有许多文章列出了最佳实践。参考资料-01 参考资料-02 参考资料-03