我需要验证我的iPhone应用程序上的用户是否实际登录到我的Facebook应用程序。我可以通过使用Access令牌检索它来验证用户ID:
https://graph.facebook.com/me?fields=id&access_token=XXXXXXXXXXXXXXX
我预见的安全问题是,他们可以向我发送任何有效的访问令牌,它将返回他们的用户ID。我还需要验证此令牌是否适用于我的特定应用。有没有办法在此请求中返回应用程序ID以验证?
是。你可以查询这个:
https://graph.facebook.com/app?access_token=TOKEN
它将返回有关创建访问令牌的应用程序的名称,ID和几个统计信息。
Facebook现在支持调试访问令牌。您可以通过向debug_token连接发出GET请求来检索与特定访问令牌相关的信息。就像是:
GET /debug_token?
input_token={input-token}&
access_token={access-token}
其中,输入令牌:您想要获取有关信息和访问令牌的访问令牌:您的应用访问令牌或来自应用开发者的有效用户访问令牌
这将返回以下信息:
{
"data": {
"app_id": 000000000000000,
"application": "Social Cafe",
"expires_at": 1352419328,
"is_valid": true,
"issued_at": 1347235328,
"scopes": [
"email",
"publish_actions"
],
"user_id": 1207059
}
}
您可以在Getting Info about Tokens and Debugging参考中获得有关它的更多信息。
这是我在Python 3中的实现,实现单个Facebook批量请求。这应该可以在一次调用中获得与用户的access_token相关联的APP和USER数据。
#Build the batch, and urlencode it
batchRequest = '[{"method":"GET","relative_url":"me"}, {"method":"GET","relative_url":"app"}]'
batchRequestEncoded = urllib.parse.quote_plus(batchRequest)
#Prepare the batch and access_token params
dataParams = 'access_token=%s&batch=%s' % (fb_access_token, batchRequestEncoded)
dataParamsEncoded = dataParams.encode()
fbURL = 'https://graph.facebook.com/'
#This will POST the request
response = urllib.request.urlopen(fbURL, dataParamsEncoded)
#Get the results
data = response.read()
data = json.loads(data.decode("utf-8"))
实现我编写的一些编码调用可能有更多的pythonic方法,但我只想展示对我来说究竟有用的东西。
你可以在你的api电话上使用appsecret_proof。
访问令牌是便携式的。可以通过Facebook的SDK获取客户端生成的访问令牌,将其发送到服务器,然后代表客户端从该服务器进行调用。
您可以通过将appsecret_proof参数添加到来自服务器的每个API调用并启用该设置以要求所有调用的证明来防止这种情况。这可以防止坏人通过他们的服务器访问令牌进行API调用。
例:
https://graph.facebook.com/app?access_token=TOKEN&appsecret_proof=<app secret proof>
在PHP中:
$endpoint = sprintf(
'https://graph.facebook.com/app?access_token=%s&appsecret_proof=%s',
urlencode($accessToken),
urlencode(
hash_hmac('sha256', $accessToken, $appSecret)
)
);
您现在可以相信您获得的响应可用于身份验证。