Речь об access token для подключенного сайта. Токен
принадлежит приложению типа "веб-сайт" (т.е. сайту), не посетителю.
Задача в том, чтобы со стороны клиента, посредством javascript сделать запрос к api вконтакте.
- Если использовать Open API ВКонтакте и метод VK.Api.call, то в случае, если посетитель не подключен к данному приложению - запрос не проходит (речь о запросах, требующих каких-либо прав).
- Если использовать кроссдоменный запрос к вконтакте, например через $.ajax то приходится в открытую передавать access token. Но все срастается.
Что-то мне подсказывает, что это не совсем верный ход )))
С другой стороны очевидных угроз от этого тоже не обнаружено:
- С других сайтов, сделать запрос к api с использованием этого токена не удалось, вконтакте выдает ошибку.
Есть ли еще какая-либо невидимая угроза от этого
?