Fatal编程技术网
  • facebook/
  • 如何在Facebook上获取用于调试令牌检查的应用程序访问令牌?

如何在Facebook上获取用于调试令牌检查的应用程序访问令牌?

facebook oauth

如何在Facebook上获取用于调试令牌检查的应用程序访问令牌?,facebook,oauth,authorization,facebook-access-token,implicit,Facebook,Oauth,Authorization,Facebook Access Token,Implicit,建议您的应用程序是否使用代码或令牌作为您的响应类型,您应该对访问令牌执行自动检查,以确认令牌属于应用程序期望它属于的人,并且是您的应用程序生成了令牌 你应该穿上这件衣服 GET graph.facebook.com/debug_token? input_token={token-to-inspect} &access_token={app-token-or-admin-token} 其中app token是app|u id | app|u secret,token to inspe

建议您的应用程序是否使用代码或令牌作为您的响应类型,您应该对访问令牌执行自动检查,以确认令牌属于应用程序期望它属于的人,并且是您的应用程序生成了令牌

你应该穿上这件衣服

GET graph.facebook.com/debug_token?
 input_token={token-to-inspect}
 &access_token={app-token-or-admin-token}
其中app token是app|u id | app|u secret,token to inspect是用户的访问令牌。此外,我认为通过阅读文档,您可以通过使用app_id和app_secret调用客户端凭据来检索app令牌

这对于在服务器端实现的授权流来说没什么问题,但是如果您使用隐式方法并选择响应类型作为令牌(并且出于任何原因不使用FB的javascript SDK),该怎么办?你如何安全地获得应用令牌而不泄露你的应用秘密?FB的SDK是如何实现的?

您可以在Facebook开发者面板中生成应用程序令牌 然后只需将其保存到配置文件服务器端。从开发者页面:

应用令牌不会过期,应保密,因为它们与您的应用密钥相关

在我的页面上,我使用以下流程:

  • 用户使用Facebook JS SDK进行身份验证,然后发送他的 向服务器发送令牌+uid
  • 服务器验证给定的令牌是否正确 通过调用“debug_令牌”与给定人员相关 方法,你说过的
  • 如果令牌+uid组合有效, 它对用户服务器端进行身份验证
    • 我希望这会有所帮助。

    您可以在Facebook开发者面板中生成应用程序令牌 然后只需将其保存到配置文件服务器端。从开发者页面:

    应用令牌不会过期,应保密,因为它们与您的应用密钥相关

    在我的页面上,我使用以下流程:

  • 用户使用Facebook JS SDK进行身份验证,然后发送他的 向服务器发送令牌+uid
  • 服务器验证给定的令牌是否正确 通过调用“debug_令牌”与给定人员相关 方法,你说过的
  • 如果令牌+uid组合有效, 它对用户服务器端进行身份验证
    • 我希望这能有所帮助。

    默认情况下,FB的javascript SDK处理调试令牌调用,对吗?似乎应用程序令牌也应该保密,那么,除非在服务器端完成,否则如何安全地发送该令牌呢?正如我所说,调试令牌请求是在服务器端发出的:“服务器通过调用“调试令牌”来验证给定令牌是否与给定的人相关……”。顺便说一句,我不确定应用程序令牌是否有那么大的秘密。你有一个真正应该保护的“应用秘密”。不过默认情况下,FB的javascript SDK会处理调试令牌调用,对吗?似乎应用程序令牌也应该保密,那么,除非在服务器端完成,否则如何安全地发送该令牌呢?正如我所说,调试令牌请求是在服务器端发出的:“服务器通过调用“调试令牌”来验证给定令牌是否与给定的人相关……”。顺便说一句,我不确定应用程序令牌是否有那么大的秘密。你有一个你应该真正保护的“应用程序秘密”。