问题描述
我正在尝试在移动应用程序中调用FB conversions API(https://developers.facebook.com/docs/marketing-api/conversions-api/),以向FB报告应用程序事件。我在FB开发人员网站中生成了访问令牌(授予我的广告帐户报告转换的许可权限)。现在,我可以在移动应用代码中对访问令牌进行硬编码了吗?如果没有,我该如何做?
谢谢!
解决方法
不应为移动应用程序提供秘密,因为它们无法将其保存-例如,攻击者可以使用HTTP代理工具来窃取它。如果可能的话,一个更好的选择是从此开始:
- 用户登录到移动应用,该应用将获得令牌
- 移动应用使用令牌从其自己的API获取数据
- 在您的API(而不是您的移动应用程序)中配置Facebook机密/凭据
然后您可以通过自己的API向Facebook发送双跳消息,并对机密进行安全管理:
- 移动应用使用应用令牌通过自己的API调用终结点
- API获取一个单独的Facebook令牌并将消息转发给Facebook