Durante il controllo dell'implementazione di PHP php sdk ho notato che espongono il token di accesso al proprietario della risorsa (utente)
$params = array(
'next' => $next,
'access_token' => $session->getToken()
);
return 'https://www.facebook.com/logout.php?' . http_build_query($params, null, '&');
FacebookRedirectLoginHelper.php # L155
Quanto è dannoso? Non riesco a spiegarlo, ma non sembra giusto.
Nel caso in cui non sia "la migliore pratica" come si potrebbe implementare un logout usando invece il flusso di oauth v2?
Ho fatto qualche ricerca sulle specifiche e questo è quello che ho trovato:
Don't pass bearer tokens in page URLs: Bearer tokens SHOULD NOT be passed in page URLs (for example, as query string parameters).