他に、facebookのクライアントフローを使用するとすぐにアクセストークンが取得され、サーバーフローを使用すると、アクセストークンを交換するには、2つのフローの違いは何ですか?それぞれのフローをいつ使うべきですか?facebookのクライアントフローを使用してapp/siteの認証とログインを行う
もっと具体的には私はクライアントフローを使用しても、ユーザーを自分のアプリケーション/サイトに安全にログインさせることができますか?
私はaccess_tokenとidを取ることができましたが、私はクライアントに(クライアントフローを介して)取得し、それらを私のサーバーに送り、そのIDとトークンを呼び出すグラフAPIが私はこのユーザーを扱っており、彼のFB IDに基づいて自分のサイトにログインしていると仮定できます。
2番目の考えでは、サーバーフローに従わないと、クライアントID & access_tokenを安全に使用してユーザーを自分のアプリケーション/サイトにログインさせる方法がないことがわかります。
私が言う理由は、ユーザーを自分のアプリと「共有」する別の(ハッカー)アプリのオーナーです。彼はこのユーザであるかのように私は彼をログインさせる、このデータを自分のサイトにaccess_tokenはと、彼が(不正)彼の承認フローにユーザのためになったID、および偽の呼び出しがかかる場合があります。
ここに何か不足していますか?
https://developers.facebook.com/docs/authentication/の最初の段落に大きな赤い文字で書かれていませんか?