Есть ли проблемы с безопасностью при отображении маркера доступа, которое получил мое приложение OAuth 2.0? Может быть, не обязательно отображаться, но даже эхо-сигнал к исходному коду веб-сайта, где он по существу «находит» пользователя. Предположим, что все HTTPS.Безопасно ли отображать токен доступа OAuth?
Пример: У меня есть сайт, на котором я хочу разрешить пользователям входить в систему с помощью Facebook. После входа в систему я получаю токен доступа к API-интерфейсу FB от поставщика удостоверений или PHP PHP SDK. Этот токен привязан к пользователю, который только что вошел в систему. Я хочу, чтобы пользователь чувствовал себя как дома, отображая изображение своего профиля, безопасно ли отобразить какой-то HTML, похожий на следующий?
<img src='https://graph.facebook.com/me/picture?access_token=USERS_ACCESS_TOKEN'>
Edit: Я знаю, что есть и другие варианты для отображения фотографии, я не обязательно просить лучший способ сделать это. Меня больше интересует безопасность, которую нужно использовать с этими токенами доступа. Большинство ресурсов, которые я видел, похоже, не упоминают об этом.
Вам не нужно выводить токен доступа в исходный код. Ваш пример получения изображения профиля ему не нужен, и до сих пор вы не описали какой-либо другой конкретный вариант использования, где это было бы требованием. Если вы хотите сделать клиентские API-вызовы, используйте JS SDK и пусть это обрабатывает токен. – CBroe