回覆推文︰ > Token這樣拿會讓他們有辦法在其他地方登入嗎？ 我不清楚 Facebook 的機制，但一般來說很有可能。 理想中，網站會對這類登入問題做其它防範，例如︰ * 過一段時間後 Token 失效。 * 換瀏覽器後 Token 失效，也就是比較 User-Agent。（例︰Instagram） * 換 IP 後 Token 失效。 * 換地區後 Token 失效。類似前者，但在同一個地區內換 IP 還是能保持登入。 > 擴充元件要拿到使用者登入網站的權限都是這麼容易的嗎？ 容易程度大概和下圖相當︰ https://i.imgur.com/gMDvWpx.png 即使無法用 Token 登入，它也是隱私資料之一。這個附加元件相當於你一開 Facebook（包括隨處可見的 FB 廣告、點讚按鈕……等等），就會向 truepush.com 報告你的 userid + access_token。所以不要認為 Facebook 有防範機制就沒問題。 -- ヾ(；ω；) ヾ(；ω；) http://i.imgur.com/oAd97.png -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.225.201.18 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1525805512.A.E86.html