存取憑證可攜性
本指南會講解可攜性的一些常見情況,以便您根據自身需求使用相應的配置來建立應用程式。
不同應用程式類型中的憑證使用情形
存取憑證具有可攜性。獲得憑證後,您可以在任何裝置上使用。如果結合網頁介面、流動用戶和伺服器,您會得到不同的可能配置組合。但是,這些不同的配置在功能和安全方面各有優缺。
| 配置 | 優點 | 缺點 | 安全須知 |
|---|---|---|---|
登入和 API 要求在網頁用戶端(短期憑證)中執行。 | 部署簡單。 | 不設離線發佈。 無長期存取權限。 需要經常驗證。 | |
登入和 API 要求在原生流動或網頁用戶端(長期憑證)中執行。 | 無需經常驗證。 | 不設離線發佈。 | |
登入和 API 要求在網頁用戶端(代碼交換後的長期憑證)中執行。 | 在某些情況下提供額外的安全保障。 | 難以部署。 不設離線發佈。 | 僅在特定情況下有用。 |
在原生流動或網頁用戶端中登入。 API 要求在伺服器(設有長期憑證)中執行。 | 可供離線發佈。 加入安全功能,適用於以伺服器為基礎的呼叫。 | 用戶端必須呼叫伺服器以代理任何呼叫。 | 所有呼叫都應使用 |
在原生流動或網頁用戶端中登入。 API 要求在伺服器或用戶端中執行。 | 可供離線發佈 用戶驅動的用戶端發佈 | 難以部署 | 從伺服器執行的所有呼叫都應使用 |
原生或網頁用戶端登入和 API 要求
對於在用戶端執行驗證和 API 要求,這是最簡單的配置。此模型有三種可能的配置:
- 原生或網頁用戶端驗證,並且使用傳回的短期或長期憑證來執行呼叫。
- 網頁用戶端透過伺服器驗證並使用短期憑證換取長期憑證。此憑證會傳回網頁用戶端,而網頁用戶端則會使用此憑證來執行 API 呼叫。
- 網頁用戶端透過伺服器驗證並使用短期憑證換取長期憑證。伺服器將代碼傳送至用戶端。用戶端使用代碼換取長期憑證,並以此執行 API 呼叫。此配置很少使用。
原生或網頁用戶端流程
使用長期憑證的網頁用戶端流程
使用交換代碼的網頁用戶端流程
用戶端登入和伺服器 API 呼叫
在此一般配置中,驗證是在用戶端上執行,但所有 API 呼叫均由伺服器代表用戶端執行。伺服器在執行呼叫時,可以使用 appsecret_proof 參數,進一步增強安全性。
用戶端登入和用戶端或伺服器 API 呼叫
此配置結合上述方法。
使用 SDK 設定存取憑證
您可以透過多種方法,指定在我們 SDK 中與 API 呼叫一起使用的存取憑證。
- Facebook Android SDK
setCurrentAccessToken方法具有accessToken參數。 - Facebook iOS SDK
setCurrentAccessToken方法具有token參數。 - Facebook Javascript SDK
FB.api()方法具有access_token參數。