Portabilitas Token Akses

Panduan ini menjelaskan beberapa skenario umum portabilitas sehingga Anda dapat membuat aplikasi dengan konfigurasi yang sesuai dengan kebutuhan Anda.

Penggunaan Token dengan Jenis Aplikasi yang Berbeda

Token akses bersifat portabel. Setelah Anda mendapatkan token, Anda dapat menggunakannya dari mesin mana pun. Saat Anda menggabungkan antarmuka web, klien seluler, dan server, Anda dapat memperoleh campuran konfigurasi berbeda. Namun, konfigurasi yang berbeda ini memiliki kelebihan dan kekurangan yang berbeda dalam hal kemampuan dan keamanan.

Konfigurasi	Keuntungan	Kekurangan	Catatan Keamanan
Login dan permintaan API terjadi di klien web (token berdurasi singkat).	Penerapannya mudah.	Tidak ada postingan offline. Tidak ada akses berdurasi lama. Autentikasi lebih sering.
Login dan permintaan API terjadi di klien seluler native atau klien web (token berdurasi lama).	Autentikasi lebih jarang.	Tidak ada postingan offline.
Login dan permintaan API terjadi di klien web (token berdurasi lama setelah pertukaran kode).	Keamanan ekstra di situasi tertentu.	Sulit diterapkan. Tidak ada postingan offline.	Hanya berguna di situasi tertentu.
Login terjadi di klien seluler native atau klien web. Permintaan API terjadi di Server (dengan token berdurasi lama).	Posting offline. Tambahkan fitur keamanan yang tersedia dengan panggilan berbasis server.	Klien harus memanggil server untuk proksi panggilan.	Gunakan `appsecret_proof` untuk panggilan apa pun.
Login terjadi di klien seluler native atau klien web. Permintaan API terjadi di server atau di klien.	Posting offline. Posting berdasarkan pengguna dari klien	Sulit diterapkan	Gunakan `appsecret_proof` untuk panggilan yang dibuat dari server.

Permintaan Login dan permintaan API Klien Native atau Klien Web

Ini adalah konfigurasi paling sederhana tempat autentikasi dan permintaan API terjadi pada klien. Ada tiga kemungkinan konfigurasi di model ini:

Klien native atau klien web mengautentikasi dan menggunakan token berdurasi singkat atau lama yang dikembalikan untuk melakukan panggilan.
Klien web mengautentikasi dan menukar token berdurasi singkat dengan token berdurasi lama melalui server. Token ini dikirim kembali ke klien web tempat klien web menggunakannya untuk melakukan panggilan API.
Klien web mengautentikasi dan menukar token berdurasi singkat dengan token berdurasi lama melalui server. Server mengirimkan kode ke klien. Klien menukar kode untuk token berdurasi lama dan menggunakannya untuk melakukan panggilan API. Konfigurasi ini jarang digunakan.

Alur Klien Native atau Klien Web

Alur Klien Web dengan Token Berdurasi Lama

Alur Klien Web dengan Pertukaran Kode

Login Klien dan Panggilan API Server

Dalam konfigurasi umum ini, autentikasi terjadi pada klien, tetapi semua panggilan API dibuat oleh server atas nama klien. Server dapat menggunakan parameter appsecret_proof untuk makin meningkatkan keamanan saat melakukan panggilan.

Login Klien dan Panggilan API Klien atau Server

Konfigurasi ini merupakan kombinasi dari pendekatan di atas.

Atur Token Akses Menggunakan SDK

Ada cara yang berbeda untuk menentukan token akses mana yang digunakan dengan panggilan API di SDK kami.

Metode setCurrentAccessToken Facebook SDK for Android memiliki parameter accessToken.
Metode setCurrentAccessToken Facebook SDK for iOS memiliki parameter token.
Metode FB.api() Facebook SDK for JavaScript memiliki parameter access_token.