【发布时间】:2014-11-25 06:52:34
【问题描述】:
我从客户端获取 AccessToken,然后传递给服务器。我需要检查访问令牌是否属于我的应用而不是其他应用。
有没有办法从令牌中获取 CLIENT_ID,就像 Facebook 的调试令牌一样。
【问题讨论】:
【发布时间】:2014-11-25 06:52:34
【问题描述】:
它没有记录,但据我测试,访问令牌由 3 个用点分隔的部分组成,而第二部分是 7 个字符,与请求身份验证的应用程序的 client_id 的前 7 个字符匹配:
access_token:xxxxxxxxx.yyyyyyy.zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz
client_id: yyyyyyy*******************************
user_id: xxxxxxxxx(访问令牌的第一部分)
虽然 access_token 生成是否由另一个应用程序启动并不重要,因为它是代表经过身份验证的用户访问 Instagram API 的特权,它不会影响您的应用程序。
【讨论】:
-
谢谢 :) 我需要这个检查,因为我担心如果应用程序泄漏访问令牌,那么所有令牌在我的应用程序上都是有效的,任何获得这些令牌的人都可以直接登录到我的应用程序,如果我不做这个检查。太可怕了!