存取權杖可攜性
本指南說明可攜性的一些常見情況,讓您能夠以符合需求的配置來建置應用程式。
不同應用程式類型的權杖使用方式
存取權杖為可攜式。取得權杖後,就可以從任何機器使用權杖。將網頁介面、行動用戶端和伺服器合併後,您可以獲得各種可能的混合配置。不過,這些不同配置在功能和安全上各有優劣。
| 配置 | 優點 | 缺點 | 安全注意事項 |
|---|---|---|---|
登入和 API 要求發生於網頁用戶端(短期權杖)。 | 實作簡單。 | 無離線張貼。 無長期存取權。 需要經常驗證。 | |
登入和 API 要求發生於原生行動用戶端或網頁用戶端(長期權杖)。 | 較不需要經常驗證。 | 無離線張貼。 | |
登入和 API 要求發生於網頁用戶端(代碼交換後取得長期權杖)。 | 某些情況提供額外安全性。 | 實作困難。 無離線張貼。 | 僅適用於特定情況。 |
登入發生於原生行動用戶端或網頁用戶端。 API 要求發生於伺服器(具有長期權杖)。 | 離線張貼。 增添伺服器呼叫特有的安全功能。 | 用戶端必須呼叫伺服器才能代理任何呼叫。 | 任何呼叫都應使用 |
登入發生於原生行動用戶端或網頁用戶端。 API 要求發生於伺服器或用戶端。 | 離線張貼 從用戶端進行用戶導向張貼 | 實作困難 | 從伺服器執行的任何呼叫都應使用 |
原生或網頁用戶端登入和 API 要求
這是驗證和 API 要求發生於用戶端的最簡單配置。此模型有三種可能的配置:
- 原生或網頁用戶端進行驗證,並使用傳回的短期或長期權杖來執行呼叫。
- 網頁用戶端進行驗證,並透過伺服器以短期權杖換取長期權杖。此權杖送回網頁用戶端,網頁用戶端再使用此權杖執行 API 呼叫。
- 網頁用戶端進行驗證,並透過伺服器以短期權杖換取長期權杖。伺服器傳送代碼至用戶端。用戶端以代碼換取長期權杖,再使用此權杖執行 API 呼叫。此配置極少使用。
原生或網頁用戶端流程
使用長期權杖的網頁用戶端流程
使用代碼交換的網頁用戶端流程
用戶端登入和用戶端或伺服器 API 呼叫
此配置是上述方法的組合。
使用 SDK 設定存取權杖
有不同方法可指定要在我們的 SDK 中使用哪個存取權杖來搭配 API 呼叫。
- Facebook Android SDK
setCurrentAccessToken方法有accessToken參數。 - Facebook iOS SDK
setCurrentAccessToken方法有token參數。 - Facebook Javascript SDK
FB.api()方法有access_token參數。