回覆推文︰ > Token这样拿会让他们有办法在其他地方登入吗？ 我不清楚 Facebook 的机制，但一般来说很有可能。 理想中，网站会对这类登入问题做其它防范，例如︰ * 过一段时间後 Token 失效。 * 换浏览器後 Token 失效，也就是比较 User-Agent。（例︰Instagram） * 换 IP 後 Token 失效。 * 换地区後 Token 失效。类似前者，但在同一个地区内换 IP 还是能保持登入。 > 扩充元件要拿到使用者登入网站的权限都是这麽容易的吗？ 容易程度大概和下图相当︰ https://i.imgur.com/gMDvWpx.png 即使无法用 Token 登入，它也是隐私资料之一。这个附加元件相当於你一开 Facebook（包括随处可见的 FB 广告、点赞按钮……等等），就会向 truepush.com 报告你的 userid + access_token。所以不要认为 Facebook 有防范机制就没问题。 -- ヾ(；ω；) ヾ(；ω；) http://i.imgur.com/oAd97.png --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.225.201.18 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1525805512.A.E86.html