关于 Facebook 应用程序 ID 和应用程序密码以及我在多少个单独的“应用程序”上使用相同的应用程序 ID/密码，是不是存在任何数量问题？

Posted 2023-04-19

【中文标题】关于 Facebook 应用程序 ID 和应用程序密码以及我在多少个单独的“应用程序”上使用相同的应用程序 ID/密码，是不是存在任何数量问题？

【英文标题】：Are there any volume issues regarding the Facebook app id and app secret and how many separate "applications" I use the same app id/secret on?关于 Facebook 应用程序 ID 和应用程序密码以及我在多少个单独的“应用程序”上使用相同的应用程序 ID/密码，是否存在任何数量问题？

【发布时间】：2013-10-10 20:28:05

【问题描述】：

是否存在关于 Facebook 应用秘密的数量问题以及我可以在多少个单独的连接（或“应用程序”）上使用相同的应用 ID/秘密？例如，我正在创建一个 SharePoint 自动托管的 Facebook 应用程序。自动托管意味着我的应用程序的服务器组件将自动部署到 Azure 每个 SharePoint 客户。用户无法获得应用程序 ID 或秘密（据我所知，显然任何东西都可以在一定程度上被破解），因此我不关心它的安全性或共享秘密。但是，可能有数千个单独的应用程序使用相同的应用程序 ID/密码连接到 Facebook。这是个问题吗？

顺便说一句，我不一定在谈论带宽/流量阈值，我更关心使用相同 id/secret 的单个连接的数量。我知道政策规定：“如果您超过或计划超过以下任何阈值，请联系我们，因为您可能会受到附加条款的约束：（>5M MAU）或（>100M API 调用/天）或（ > 每天 5000 万次展示）。”这不是我最关心的问题。

【参考方案1】：

However, potentially thousands of individual apps could be using the same app id/secret to connect to Facebook. Is this an issue?

是的，绝对是的。

应用访问令牌旨在代表应用进行 API 调用，以证明调用是代表应用本身进行的 - 典型用例是执行管理操作，例如从用户配置文件中卸载应用或阻止它们、更新应用设置、向授权用户发送通知、读取有关应用支付交易的财务数据等。

如果您打算使用应用访问令牌进行读取调用，我怀疑您误解了 Facebook API 中使用的访问模型 - 您应该代表已授予您应用权限的特定 Facebook 用户进行 API 调用访问和更新他们的数据 - 在您广泛分发的代码中嵌入应用程序 ID 和密码对您的应用程序用户来说是一个安全问题，将很快达到 API 速率限制，如果应用程序被关闭，将破坏您客户端代码的所有实例马上。

我强烈建议您阅读登录文档并确保您使用用户访问令牌来请求用户数据 - https://developers.facebook.com/docs/facebook-login/