回复推文︰
> Token这样拿会让他们有办法在其他地方登入吗?
我不清楚 Facebook 的机制,但一般来说很有可能。
理想中,网站会对这类登入问题做其它防范,例如︰
* 过一段时间后 Token 失效。
* 换浏览器后 Token 失效,也就是比较 User-Agent。(例︰Instagram)
* 换 IP 后 Token 失效。
* 换地区后 Token 失效。类似前者,但在同一个地区内换 IP 还是能保持登入。
> 扩充元件要拿到使用者登入网站的权限都是这么容易的吗?
容易程度大概和下图相当︰
https://i.imgur.com/gMDvWpx.png
即使无法用 Token 登入,它也是隐私资料之一。这个附加元件相当于你一开
Facebook(包括随处可见的 FB 广告、点赞按钮……等等),就会向
truepush.com 报告你的 userid + access_token。所以不要认为 Facebook
有防范机制就没问题。