При запросе $.getJSON к VK API для публикации сообщения на стену группы, в Firebug выводится кусок кода, в котором светится и токен и номер группы и передаваемое сообщение.
Т. е. каждый, кто получит мой токен, сможет выполнить подобный запрос (добавить сообщение в группу или наоборот удалить, т.к. права это позволяют). Как можно обезопасить себя от этого?
Уменьшение времени жизни токена не подходит, т.к. он должен оставаться вечным.
<script type="text/javascript">
$.getJSON('https://api.vk.com/method/wall.post?owner_id=-69173875&from_group=1&message=<?php echo(urldecode($message)); ?>&access_token=TOKEN&v=5.16&callback=?', function(resp){
})
.done(function( resp ) {
if (resp.response!=undefined)
console.log( "JSON Data: " + resp.response.post_id );
else
console.log("error");
});
</script>
