JSのみで実装してしまうことの危険性

以前JSのみで実装をしていた人にアカウントに紐づく普段は見れない情報を平文で書いてしまうなんて。。。という話をしていたのですが、なぜだめなのかをうまく説明できなかったのでまとめを探した。

アクセストークンを平文で書いてしまうことの危険性

http://guisekit.com/web/instafeedjs/
http://guisekit.com/web/instagram/

https://syncer.jp/instagram-api-matome#sec-14

パーミッションの状態によっては危険性があるのであれば責任はとれないしやめたほうがいいよね。。。という。
Instaの2017現在の最新のチェック体制がどうなっているのかは知らないのでちゃうかったらごめんなさい。

実装方法提案

A）最新を引っ張ってきて表示させる（PHP＋JS）
B）固定で画像を用意してインスタURLに飛ばす（API連携なし）
C）外部サービスで引っ張ってくる
Aは以前はわりと簡単に引っ張ってこれたようですが、今はPHPでのAPIからの値取得とデベロッパー登録、情報加工が必要です。
Cはサービスが有料だったり、停止したりするリスクがあります。
またAはPHPが使えるサーバーであることが最低条件となります。（サイト用のホスティングサービスならほぼ使えるとは思いますが念のため）

インスタ埋め込みの仕様について、詳しくは

Instagramの画像をwebサイトに表示させる３つの方法
http://insta-antenna.com/method-picture-display

Instagram APIを取得してWebサイトと連携し、投稿写真を自動に掲載する方法 | 株式会社LIG
https://liginc.co.jp/web/service/other-service/146750