你可以和别人分享你的Facebook访问令牌吗？

Question

我偶然发现了一款在许多马来西亚Facebook用户中病毒传播的应用程序：

https://www.facebook.com/SpritzNetworks/app_190322544333196

该应用程序要求用户将所谓的令牌复制到应用程序中。显然，所谓的移动令牌实际上是用户为特定的索尼Xperia应用程序创建的Facebook访问令牌。

以这种方式与应用程序共享Facebook访问令牌会产生什么影响？

Answer 1

你敞开心扉去接触你最不想给予的东西。访问令牌是用户声明应用程序查看数据的有限访问权限的一种方式。

复制粘贴access_token意味着您可以绕过OAuth流来防止您的帐户被劫持。

access_token是显而易见的，因为redirect_uri被设置为不处理响应的http://facebook.com。

由于用户访问令牌在URL片段中传递给您的redirect_uri，因此必须使用某种类型的Javascript检索它--这取决于您想要使用的Javascript框架，一些示例包括querystring.parse in Node.js或jQuery烧烤。

https://www.facebook.com/dialog/oauth?response_type=token&display=popup&client_id=104018109673165&redirect_uri=http://www.facebook.com/&response_type=token&perms=&scope=publish_stream,offline_access,user_photos,friends_photos,publish_actions,read_stream,email,user_status,user_activities,user_likes

允许入侵者(https://www.facebook.com/SpritzNetworks)访问以下内容

• publish_stream
• offline_access
• user_photos
• friends_photos
• publish_actions
• read_stream
• 电子邮件
• user_status
• user_activities
• user_likes

许多阴影页，使用Xperia应用程序作为一种方式，以诱使用户提供他们的访问令牌。

摘要:不要发布你的access_token，你根本就不应该知道它的存在。