如果有人得到我的 appsecret 会怎样？

Question

根据此处的文档 (http://developers.facebook.com/docs/authentication/)。绝不应共享您的应用机密：

应用程序密钥可从开发者应用程序获得，不应 与任何人共享或嵌入到您将分发的任何代码中 （对于这些场景，您应该使用客户端流程）。

为什么？如果它被意外或以其他方式公开共享，是否会被利用？

如果发生这种情况，我应该注意什么？有人可以用这些信息做什么？

我认为我选择作为身份验证过程的一部分的站点 URL 是安全的？

谢谢

Answer 1

画布 URL 不用于验证对 Facebook API 的请求。恶意用户可以编写自己的应用程序，该应用程序使用您的应用程序机密来获取具有您应用程序安全权限的会话。这允许攻击者窃取您的用户已授权您的应用访问的所有数据，并执行用户已授权您的应用执行的所有操作（墙贴等）。