AppSecret mit Windows Phone 7

Question

Frage von CodePlex zu Stackoverflow, wo das wirklich gehört.

Ich sehe, dass Facebook eine AppId und eine AppSecret generiert. In dem bereitgestellten Beispiel ist AppId in den Code eingebettet, es wird jedoch nicht erwähnt, dass AppSecret verwendet wird. Sollte es nicht angegeben werden wo im Code die Anfragen signieren? Was vermisse ich?

Danke,

WP7Noob

Antwort von DevTheo

Die Art, wie wir die Access-Token erhalten das Geheimnis um sich herum. Sobald Sie ein Zugriffs-Token haben, können Sie praktisch alles tun, was Sie tun müssen. Sie können es natürlich zur Erstellung der FacebookApp hinzufügen (aber ich bin ziemlich sicher mit der Art, wie wir Dinge tun, die Sie nicht brauchen, das Geheimnis).

Jay

Answer 1

Wir haben die App Geheimnis nicht in der WP7-Authentifizierungsprozess verwenden, weil wir nicht glauben, es am besten Praxis ist das Geheimnis mit Ihrer App zu setzen. Sie sollten das App-Geheimnis nur dann auf Ihrem Server verwenden, wenn es sicher ist. Ich bin mir nicht sicher, warum die iOS- oder Android-SDKs sie verwenden, da dies wirklich gegen die eigenen Best Practices von Facebook ist. (Und ja, ich erkenne die Ironie von Facebook, die ihre eigenen Richtlinien bricht, aber sie tun es die ganze Zeit).

Zusätzlich, wie OAuth auf einem WAP-Gerät funktioniert (wie DevTheo darauf hinwies), brauchen wir das Geheimnis nicht, um das Zugriffstoken zu erhalten.

Dies gesagt, Sie haben Recht, dass Sie die Echtheit des Tokens nicht überprüfen können, wenn Sie es erhalten. Aber das ist wirklich kein Problem. Wenn jemand ein Token verfälscht, funktioniert es nicht.