Cytat(melkorm @ 29.03.2011, 00:57:11 )

Mówimy o różnych sposobach autoryzacji, ty mówisz o tokenach, a ja permanentnej akceptacji aplikacji - wtedy żadnych tokenów nie trzeba.
zawsze potrzebny jest token. Mozesz sie autentykowac jako aplikacja, ale wtedy masz token aplikacji. Nawet jesli user dal Ci uprawnienia offline, to dalej o ile sprawdzałem potrzebujesz jego tokenu - musisz go gdzies zapamietac.
Nie ma czegos takiego jak "permanentna akceptacja aplikacji", zawsze akceptujesz aplikacje na pewnych konkretnych warunkach ktore okreslone sa przez uprawnienia. Jesli user zaakceptuje prosbe o nadanie uprawnien dla aplikacji, wtedy aplikacja otrzymuje token. Jesli token sie przedawni, wtedy aplikacja nie ma juz dostepu do danych ktore udostepnial jej token. Nastepnym razem gdy user wejdzie i sie "zaloguje" (czyli utworzy i przekaze token), nie bedzie musial ponownie zgadzac sie na nadanie uprawnien, nawet do tego stopnia ze zostanie "samoczynnie zalogowany" czyli logowanie/przekazanietokenu przebiegnie bez zadnej interakcji z uzytkownikiem.
Cytat
Zapisać do bazy? A po co? Nie widzę najmniejszego sensu.
po to zeby wyslac userowi email, nawet jesli nie uzywa akurat aplikacji. Po to miedzy innymi sa te smieszne hashowane adresy email ktore leca przez facebook.com(z tego co pamietam zapisywanie innych w Twojej bazie jest niezgodne z regulaminem, ale i tak wszyscy to robia).
Cytat
Sesje możemy pobrać (a właściwie to głównie o access_token chodzi) przez metodę getSession()
sesja to nie do konca jest access token. Access token pobierasz za pomoca getAccessToken

btw. co ten temat robi w dziale AJAX ?