我将instagram用户ID和令牌存储在数据库中,然后将其以json对象发送给公众,这是一个问题吗。上传凭据的instagram用户当然知道这种情况正在发生,并可以随时断开他们的instagram个人资料。
这是个问题吗?
我正在使用此的instafeed
initStagram(id, token){
var feed = new Instafeed({
get: 'user',
userId: id,
accessToken: token,
resolution:"standard_resolution",
template: '<a target="_blank" href="{{link}}"><img class="isstyle img-rounded" src="{{image}}" alt="{{caption}}"/></a>'
});
feed.run();
}
您可以在用户完成Instagram登录后使用哈希片段中接收的access_token,而不是使用access_token发送JSON对象,并将其保存在应用程序中。这样access_token只有在实际用户登录后才被客户端接收
我猜您有自己的API来获取带有access_token的JSON对象,然后任何人都可以进行该调用并获取任何人的access_token?
安全的方法是让instagram使用redirect_uri向客户端发送access_token。此外,当用户在应用程序中注销时,您应该删除保存的access_token