<div>Are there any public docs for the version of the FB signed_request that uses a hash of the access_token/code, rather than actually containing the entire access_token? </div><div><br></div><div>The only docs that I've read so far have the access_token contained within the signed_request.</div>
<div><br></div><div>Allen</div><div><br></div><br><div class="gmail_quote">On Thu, Aug 25, 2011 at 1:15 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div style="word-wrap:break-word">Yes it is.   <div><br></div><div><span>Reading the FB documents I assumed that </span><span style="border-collapse:collapse;color:rgb(0, 96, 0);font-family:monospace;font-size:13px;line-height:18px">oauth_token</span><span> in the signed request is the access token for the graph API.</span></div>
<div><span><br></span></div><div><span>Breno reports conversations with FB's developers that indicate that is not the current practice.</span></div><div><span><br></span></div><div><span>One reason why that would be a bad idea is that it would allow access tokens to be sniffed for non SSL RP.  Not a problem for the RP, but perhaps a large one for the IdP.</span></div>
<div><span><br></span></div><div><span>Having an attacker get  a id_token or session cookie  is less problematic than if they get a long term access token.  If the id_token is set as a cookie then including the access token is a bad idea.<div>
<div></div><div class="h5"><br></div></div></span></div></div></blockquote><div><br></div><div> </div></div>