У меня есть приложение с разрешением offline_access, и я получаю токен доступа через php sdk и сохраняю токен доступа в своей базе данных.
Это приложение работает через веб-сайт, взаимодействующий с facebook, но мы не требуем, чтобы пользователь входил в систему facebook при использовании нашего сайта. То есть для авторизации и использования нашего сайта не требуется авторизоваться в facebook. Именно поэтому мы используем разрешение offline_access.
Теперь вопрос: как использовать токен доступа в javascript?
Очевидное решение, заключающееся в том, чтобы вставить токен доступа на веб-страницу через php-эхо, было бы небезопасным, потому что в настоящее время мы не обслуживаем страницы через https, и поэтому токен перемещается в виде простого текста. Более того, если какой-то пользователь оставил свой компьютер без присмотра, злоумышленник мог воспользоваться им и получить токен, просто заглянув в исходный код сайта.
Есть ли простой способ безопасного использования этого токена доступа? Или я что-то упускаю?