Tính linh hoạt của mã truy cập

Hướng dẫn này giải thích một số trường hợp phổ biến về tính linh hoạt để bạn có thể tạo ứng dụng có cấu hình phù hợp với nhu cầu của mình.

Cách sử dụng mã với các loại ứng dụng khác nhau

Mã truy cập rất linh hoạt. Sau khi nhận được mã, bạn có thể sử dụng mã đó từ bất kỳ máy nào. Khi kết hợp giao diện web, ứng dụng di động và máy chủ, bạn có thể lấy danh sách kết hợp các cấu hình khác nhau có thể áp dụng. Tuy nhiên, các cấu hình này đi kèm với những ưu và nhược điểm khác nhau về tính năng và tính bảo mật.

Cấu hình	Ưu điểm	Nhược điểm	Ghi chú bảo mật
Lần đăng nhập và yêu cầu API xảy ra trong một ứng dụng web (mã ngắn hạn).	Triển khai đơn giản.	Không đăng bài offline. Không có quyền truy cập dài hạn. Xác thực thường xuyên.
Lần đăng nhập và yêu cầu API xảy ra trong một ứng dụng di động hoặc ứng dụng web gốc (mã dài hạn).	Xác thực ít thường xuyên hơn.	Không đăng bài offline.
Lần đăng nhập và yêu cầu API xảy ra trong một ứng dụng web (mã dài hạn sau khi trao đổi mã).	Tăng cường bảo mật trong một số tình huống nhất định.	Khó triển khai. Không đăng bài offline.	Chỉ hữu ích trong các tình huống cụ thể.
Lần đăng nhập xảy ra trong một ứng dụng di động hoặc ứng dụng web gốc. Yêu cầu API xảy ra trên một Máy chủ (có mã dài hạn).	Đăng bài offline. Thêm các tính năng bảo mật có sẵn bằng lệnh gọi dựa trên máy chủ.	Ứng dụng phải gọi máy chủ để ủy quyền bất kỳ lệnh gọi nào.	Sử dụng `appsecret_proof` cho mọi lệnh gọi.
Lần đăng nhập xảy ra trong một ứng dụng di động hoặc ứng dụng web gốc. Yêu cầu API xảy ra trên một máy chủ hoặc trong ứng dụng.	Đăng bài offline Đăng bài hướng đến người dùng từ ứng dụng	Khó triển khai	Sử dụng `appsecret_proof` cho mọi lệnh gọi được thực hiện từ máy chủ.

Yêu cầu API và lần đăng nhập ứng dụng gốc hoặc ứng dụng web

Đây là cấu hình đơn giản nhất, trong đó hoạt động xác thực và yêu cầu API xảy ra trên ứng dụng. Mô hình này có thể có 3 cấu hình:

Ứng dụng gốc hoặc ứng dụng web xác thực và sử dụng mã ngắn hạn hoặc mã dài hạn được trả về để thực hiện các lệnh gọi.
Ứng dụng web xác thực và trao đổi mã ngắn hạn lấy mã dài hạn qua một máy chủ. Mã này được gửi trở lại ứng dụng web và được ứng dụng web sử dụng để thực hiện các lệnh gọi API.
Ứng dụng web xác thực và trao đổi mã ngắn hạn lấy mã dài hạn qua máy chủ. Máy chủ sẽ gửi một mã đến ứng dụng. Ứng dụng sẽ trao đổi mã này lấy mã dài hạn và dùng mã đó để thực hiện các lệnh gọi API. Cấu hình này hiếm khi được sử dụng.

Quy trình ứng dụng gốc hoặc ứng dụng web

Quy trình ứng dụng web có mã dài hạn

Quy trình ứng dụng web có trao đổi mã

Lệnh gọi API máy chủ và lần đăng nhập ứng dụng

Trong cấu hình phổ biến này, hoạt động xác thực xảy ra trên ứng dụng. Tuy nhiên, tất cả lệnh gọi API đều được thực hiện bằng máy chủ, thay cho ứng dụng. Máy chủ có thể sử dụng thông số appsecret_proof để tăng cường bảo mật khi thực hiện lệnh gọi.

Lệnh gọi API ứng dụng hoặc máy chủ và lần đăng nhập ứng dụng

Cấu hình này là sự kết hợp của các phương pháp nêu trên.

Đặt mã truy cập bằng SDK

Có những cách khác nhau để chỉ định mã truy cập cần sử dụng với lệnh gọi API trong các SDK của chúng tôi.

Phương thức setCurrentAccessToken của Facebook Android SDK có thông số accessToken.
Phương thức setCurrentAccessToken của Facebook iOS SDK có thông số token.
Phương thức FB.api() của Facebook Javascript SDK có thông số access_token.