经过重大的巫术之后,我终于让分数 API 正常工作了。事实证明你必须设置Enhanced Auth Dialog to disabled或者 Facebook 会忽略您的publish_actions允许。只是提醒一下,以防其他人遇到困难。
然而,我完全在 Javascript API 中工作。没有可用的服务器端脚本。
发布分数的唯一方法是使用应用程序访问令牌。获取其中之一的唯一方法是使用应用程序密钥,而该密钥必须位于 JavaScript 代码中以供全世界查看。那到底有多糟糕?
说实话,我不在乎是否有人欺骗我的小型乒乓球游戏的得分。对他们来说有好处,只有他们和他们的朋友才能看到。这只是一点乐趣。但是,如果我的应用程序机密被公开,到底会出现什么问题呢?有人可以劫持整个应用程序吗?或者这只是不好的做法,一个小游戏不会出什么问题?
这都是纯粹的 javascript SDK,所以它似乎只能通过用户访问令牌工作,所以我的第一直觉是它没问题。但我想我会问......!
您还使用哪些其他权限?如果您使用“publish_stream”,我相信您可以想象随之而来的恶作剧!更糟糕的是,如果用户同时拥有您的公钥和私钥(他们会的),他们可能会创建一个完整的欺骗应用程序,将自己标识为您!
Facebook 中的“域”选项应该可以防止这种情况发生,但如果攻击者有任何机会可以这样做XSS攻击 http://en.wikipedia.org/wiki/Cross-site_scripting他们可能会编写伪装成您的游戏的恶意应用程序。
你有没有考虑过写点东西very简单与谷歌应用引擎 http://code.google.com/appengine/仅仅是为了处理应用程序身份验证令牌吗?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
