回覆推文︰
> Token這樣拿會讓他們有辦法在其他地方登入嗎？
我不清楚 Facebook 的機制，但一般來說很有可能。
理想中，網站會對這類登入問題做其它防範，例如︰
* 過一段時間後 Token 失效。
* 換瀏覽器後 Token 失效，也就是比較 User-Agent。（例︰Instagram）
* 換 IP 後 Token 失效。
* 換地區後 Token 失效。類似前者，但在同一個地區內換 IP 還是能保持登入。
> 擴充元件要拿到使用者登入網站的權限都是這麼容易的嗎？
容易程度大概和下圖相當︰
https://i.imgur.com/gMDvWpx.png
即使無法用 Token 登入，它也是隱私資料之一。這個附加元件相當於你一開
Facebook（包括隨處可見的 FB 廣告、點讚按鈕……等等），就會向
truepush.com 報告你的 userid + access_token。所以不要認為 Facebook
有防範機制就沒問題。

推

有看有推

推

作者自己對那套件做了分析.." target="_blank" rel="nofollow">