Facebook 应用开发认证和授权流程

最新推荐文章于 2024-05-10 08:20:00 发布
最新推荐文章于 2024-05-10 08:20:00 发布
阅读量1w 收藏 8
点赞数 1
文章标签: facebook token url 服务器 access redirect

最近工作需要,调研了国外几个大网站(facebook、twitter和youtube等)的应用开发相关事项,阅读官方API文档, 并整理资料与大家分享。本文是关于facebook认证和授权方面的资料整理,参考文档http://developers.facebook.com/docs/authentication/, 翻译和整理, 未经编码测试,估计很多错误烦请批评指正

Facebook 平台使用OAuth2 协议作为认证和授权协议,它有两种认证流程,服务器端流程(Server-Sizde Flow)和客户端流程(Client-Side Flow), 这些认证流程可被用于开发网站应用,移动应用或者桌面应用。

此文档使用用户登录的例子,概述了facebook支持的两种认证和授权流程,在这个例子,服务器端使用PHP,客户端使用HTML/JavaScript, 但是它们能够很方便地转换为其它的编程语言。 两种认证和授权流程,服务器端(server-side)和客户端(client-side), 服务器端流程是由Web服务器调用Graph API完成认证和授权, 客户端流程是由客户端调用Graph API完成认证和授权, 例如使用运行在浏览器上的javascript或者本地移动应用或桌面应用。

无论使用何种流程,它都有几个步骤:用户认证应用获得授权应用认证。  用户认证保证用户的正确性, 应用授权保证用户准确知道他自己把什么数据和能力授权给了应用, 应用认证保证用户是把信息给了此应用而不是其它应用。一旦认证和授权完成,应用能够使用access token 访问用户的信息,并且作为用户的代表执行操作。

一. 服务器端流程(Server-Side Flow)

1. 用户访问需要用户登录才能操作的页面,或者点击登录按钮。 浏览器重定向到 
     https://www.facebook.com/dialog/oauth?client_id=YOUR_APP_ID&redirect_uri=YOUR_URL
      其中YOUR_APP是应用在facebook创建的应用程序ID, YOUR_URL是用户登录成功或者失败后,回调(重定向)地址。重定向到上面的地址,facebook验证带到浏览器保存的cookie信息,如果此时用户已经登录,则完成认证。如果没有登录,则返回下面的界面,用户填写信息后点击登录


一旦完成用户的认证,服务器返回授权界面如下


默认情况下,授权给应用的权限只能访问基本信息,如果应用需要更多的权限,那么需要在上面的授权链接中加入scope参数,请求更多的权限,如下面的地址请求了访问用户邮箱地址和消息的权限 
https://www.facebook.com/dialog/oauth?
     client_id=YOUR_APP_ID&redirect_uri=YOUR_URL&scope=email,read_stream
用户看到的授权界面比上一个授权界面增加了两项



如果用户按下Don't Allow, 应用不被授权,授权窗口重定向(通过HTTP 302)到用户的URL(打开授权窗口传入的URL), 并带有错误信息 
http://YOUR_URL?error_reason=user_denied&
     error=access_denied&error_description=The+user+denied+your+request.
如果用户同意授权,授权窗口重定向到应用制定的URL, 请带有授权码 
http://YOUR_URL?code=A_CODE_GENERATED_BY_SERVER
Web服务器接收到该认证码,下一步,服务器发送带有应用ID(YOUR_APP_ID)和应用密钥(YOUR_APP_SECRET)和认证码的请求到地址https://graph.facebook.com/oauth/access_token如下 
https://graph.facebook.com/oauth/access_token?
     client_id=YOUR_APP_ID&redirect_uri=YOUR_URL&
     client_secret=YOUR_APP_SECRET&code=THE_CODE_FROM_ABOVE
如果授权成功,在facebook服务器的影响body中带有access token


最后,认证和授权完成,服务器能够使用access token获取用户授权的信息。
下面的流程图描述了服务器端流程的HTPP调用流程


下面的代码是一个网站应用的可能实现 

<?php 

   $app_id = "YOUR_APP_ID";
   $app_secret = "YOUR_APP_SECRET";
   $my_url = "YOUR_URL";

   session_start();
   $code = $_REQUEST["code"];

   if(empty($code)) {
     $_SESSION['state'] = md5(uniqid(rand(), TRUE)); //CSRF protection
     $dialog_url = "http://www.facebook.com/dialog/oauth?client_id=" 
       . $app_id . "&redirect_uri=" . urlencode($my_url) . "&state="
       . $_SESSION['state'];

     echo("<script> top.location.href='" . $dialog_url . "'</script>");
   }

   if($_REQUEST['state'] == $_SESSION['state']) {
     $token_url = "https://graph.facebook.com/oauth/access_token?"
       . "client_id=" . $app_id . "&redirect_uri=" . urlencode($my_url)
       . "&client_secret=" . $app_secret . "&code=" . $code;

     $response = @file_get_contents($token_url);
     $params = null;
     parse_str($response, $params);

     $graph_url = "https://graph.facebook.com/me?access_token=" 
       . $params['access_token'];

     $user = json_decode(file_get_contents($graph_url));
     echo("Hello " . $user->name);
   }
   else {
     echo("The state does not match. You may be a victim of CSRF.");
   }

 ?>












 
  
 
  
 
   2. 客户端认证流程(Client-Side Flow) 
  
 
  
 
   
 
  
 
  

    客户端和服务器端认证流程在请求认证窗口唯一不同的地方时,在参数中加入response_type,值为token 
  
 
  
 
   
https://www.facebook.com/dialog/oauth?
     client_id=YOUR_APP_ID&redirect_uri=YOUR_URL&response_type=token

 
  
 
  

    一旦认证完成,浏览器重定向到应用提供的重定向地址,并携带access_token 和超时时间 
  
 
  
 
   
http://YOUR_URL#access_token=166942940015970%7C2.sa0&expires_in=64090

 
  
 
  

    由于access token是作为URL的URI fragment(不被发送到服务器), 只有 客户端代码(javascript等)能够取出它。应用认证是通过验证重定向地址是否是在创建应用时配置的相同的地址。下图描述了客户端验证的流程 
  
 
 
 
 
 
   
 
 

 

 
 
 

 

 
 
 
  下面是可能的上实现 
 
 
 
 
  
  
 
 
 
 
   
  
<html> 
   <head> 
     <title>Client Flow Example</title> 
   </head> 
   <body> 
   <script> 
     function displayUser(user) {
       var userName = document.getElementById('userName');
       var greetingText = document.createTextNode('Greetings, '
         + user.name + '.');
   userName.appendChild(greetingText);
     }

     var appID = "YOUR_APP_ID";
     if (window.location.hash.length == 0) {
       var path = 'https://www.facebook.com/dialog/oauth?';
   var queryParams = ['client_id=' + appID,
     'redirect_uri=' + window.location,
     'response_type=token'];
   var query = queryParams.join('&');
   var url = path + query;
   window.open(url);
     } else {
       var accessToken = window.location.hash.substring(1);
       var path = "https://graph.facebook.com/me?";
   var queryParams = [accessToken, 'callback=displayUser'];
   var query = queryParams.join('&');
   var url = path + query;

   // use jsonp to call the graph
       var script = document.createElement('script');
       script.src = url;
       document.body.appendChild(script);        
     }
   </script> 
   <p id="userName"></p> 
   </body> 
  </html>
 
 
 
 
 

 


                

        

        

    




    

      

        

            

              
                
                  hx_zhan
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    8
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
跨平台整合:如何利用Facebook开发移动端应用?

				
			

			

				

					AdsMagics的博客
				

				

					03-18
					
					357
					
				

			

		

		

			
				
其中,Facebook提供了丰富的开发工具和API,可以帮助开发者在移动端上开发高效、流畅的应用程序。例如,Facebook的广告API可以帮助开发人员在应用中集成广告,并帮助他们通过Facebook的广告平台来推广应用。完成测试后,你可以将你的应用程序发布到应用商店,让更多用户可以使用你的应用程序。通过接入Facebook SDK,你可以轻松地在你的应用程序中实现Facebook的社交功能。5.Facebook开放图谱:通过开放图谱,你可以让用户在你的应用程序中浏览Facebook上的公共数据。

			
		

	



                

              
                



	

		

			

				
					
Facebook登陆服务器校验,权限请求以及数据获取

				
			

			

				

					浪迹天涯
				

				

					12-05
					
					3576
					
				

			

		

		

			
				

大致步骤是:
1、创建一个应用程序,可以获得App ID/API Key和App Secret。
2、使用URL:
https://www.facebook.com/dialog/oauth?client_id=YOUR_APP_ID&amp;redirect_uri=YOUR_URL&amp;scope=email,read_stream
其中YOUR_APP_ID就是你的APPID...

			
		

	



                


  
              

                


	

		

			

				
					
Facebook 应用开发认证授权登录流程

				
			

			

				

					托马斯的博客
				

				

					07-30
					
					8994
					
				

			

		

		

			
				
前段时间由于工作需要,对fb授权登陆并获取对应的访问令牌(access_token),即授权登陆!调研了facebook应用开发相关事项,阅读官方API文档, 并整理资料与大家分享。本文是关于facebook认证授权方面的资料整理,结合自己的实际测试总结该文章,希望对大家有所帮助!
Facebook 平台使用OAuth2 协议作为认证授权协议,它有两种认证流程服务器流程(Server-Sizde Flow)和客户端流程(Client-Side Flow), 这些认证流程可被用于开发网站应用,移动应用

			
		

	





	

		

			

				
					
解密Facebook产品的开发流程(转自CSDN)

				
			

			

				

					Move Fast!
				

				

					03-16
					
					168
					
				

			

		

		

			
				
原文地址:http://www.csdn.net/article/2013-03-15/2814517



摘要:王淮是Facebook第二位中国籍工程师,也是第一位中国籍研发经理,他一手开创了Facebook的支付安全和客服工具领域。2011年他离开Facebook,回国成为天使投资人,希望用自己在的经验帮助创业者。王淮下周将做客CSDN,欢迎读者朋友留言,我们将挑选部分问题,在专访中邀...

			
		

	



		

			
		



	

		

			

				
					
OAuth2.0授权标准详解,OAuth2.0四种授权模式详解

					
最新发布

				
			

			

				

					秃了也弱了
				

				

					05-10
					
					1962
					
				

			

		

		

			
				
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。

			
		

	





	

		

			

				
					
Facebook 开发页面App 流程讲解

				
			

			

				

					weixin_33828101的博客
				

				

					03-01
					
					181
					
				

			

		

		

			
				
Facebook上的应用程序被加载到一个canvas页面。一个画布页面毫不夸张地说是一个空白的canvas,在Facebook上运行您的应用程序。填充canvas页面提供一个的canvas URL包含HTML,JavaScript和CSS,使您的应用程序。当一个用户请求,我们载入帆布画布页面URL在一个iframe中,该网页上。因为都在iframe中,用javascript来调用facebook...

			
		

	





	

		

			

				
					
这就是Facebook开发和部署软件的方式。 你应该照顾吗?

				
			

			

				

					danpob13624的博客
				

				

					04-05
					
					116
					
				

			

		

		

			
				
希伯来大学的Dror Feitelson教授,Facebook的研究科学家Eitan Frachtenberg和Kent Beck(也在Facebook从事工作)最近发表的学术论文描述了Facebook开发和部署其前端软件的方法 。 虽然了解后端开发的完成方式会更有趣(这是真正的繁重工作,可以扩展到可容纳数亿用户的地方),但本文中还有一些事情值得了解。 
Facebook上的持续部署不是持续...

			
		

	





	

		

			

				
					
图书:Facebook应用开发

				
			

			

				

					03-27
				

			

		

		

			
				
【标题】:“图书:Facebook应用开发”  这本关于Facebook应用开发的图书,旨在为开发者提供一个全面的指南,深入理解如何构建、优化以及发布在Facebook平台上的应用程序。Facebook应用开发涵盖了多种技术和策略,...

			
		

	





	

		

			

				
					
Laravel开发-facebook 

				
			

			

				

					08-28
				

			

		

		

			
				
总的来说,Laravel 结合 Socialite 为开发者提供了便捷的方式来实现 Facebook 登录和其他社交网络集成,降低了开发复杂度,让开发者可以更专注于业务逻辑的实现,而不是基础认证过程。通过不断学习和实践,你可以更...

			
		

	





	

		

			

				
					
Laravel开发-laravel-facebook 

				
			

			

				

					08-27
				

			

		

		

			
				
`laravel-facebook` 可以帮助处理 OAuth 身份验证流程,包括重定向用户到 Facebook 登录页面,接收回调,并用授权码换取访问令牌。这简化了在 Laravel 应用中实现 Facebook 登录的过程。  **7. 获取用户信息** 通过 ...

			
		

	





	

		

			

				
					
Laravel开发-facebook-sdk-laravel 

				
			

			

				

					08-28
				

			

		

		

			
				
4. **创建路由**:为 Facebook 登录的授权和回调创建路由。在 `routes/web.php` 文件中添加以下代码:   ```php  Route::get('/login/facebook', 'Auth\LoginController@redirectToFacebook');  Route::get('/login/...

			
		

	





	

		

			

				
					
Go-Auth是采用Golang开发Web模块化认证系统

				
			

			

				

					08-13
				

			

		

		

			
				
在现代Web开发中,身份验证和授权是至关重要的安全环节。Go-Auth,一个由Golang编写的Web模块化认证系统,旨在简化这一过程,为开发者提供高效、灵活的解决方案。本文将深入探讨Go-Auth的核心特性和实现原理,以及...

			
		

	





	

		

			

				
					
Facebook API使用经验分享

				
			

			

				

					weixin_30900589的博客
				

				

					02-21
					
					448
					
				

			

		

		

			
				
本例中没有使用Facebook API SDK,从底层展示了Facebook API的工作流程。
给出了一个这样的例子:如何在服务端中利用Facebook API获取到用户的email和好友列表。

1 申请Facebook API Key。
详细步骤,参考这篇文章:http://help.webscribble.com/display/jconnector/Getting+the+Fa...

			
		

	





	

		

			

				
					
【OAuth漏洞】第三方身份验证-账接管

				
			

			

				

					
				

				

					09-12
					
					941
					
				

			

		

		

			
				
【身份验证缺陷】任意账接管

			
		

	





	

		

			

				
					
请求时,校验accessToken访问令牌

				
			

			

				

					随风why
				

				

					11-03
					
					459
					
				

			

		

		

			
				
校验accessToken

			
		

	





	

		

			

				
					
facebook登录服务端校验,Facebook oidc,Meta oidc服务端校验

				
			

			

				

					了迹奇有没
				

				

					05-23
					
					1202
					
				

			

		

		

			
				
Facebook 服务端客户端交互登录校验,OIDC登录,安全登录

			
		

	





	

		

			

				
					
Facebook登录验证

				
			

			

				

					什么都不会
				

				

					02-04
					
					432
					
				

			

		

		

			
				
跟着官方文档走验证时遇到了这个错误。

			
		

	





	

		

			

				
					
Facebook获取AccessToken和获取个人主页信息

				
			

			

				

					post_mans的博客
				

				

					05-27
					
					7939
					
				

			

		

		

			
				
Facebook获取AccessToken方法以及应用的配置

			
		

	





	

		

			

				
					
facebook access token 获取

				
			

			

				

					weixin_44190201的博客
				

				

					05-17
					
					1375
					
				

			

		

		

			
				
https://smashballoon.com/custom-facebook-feed/access-token/

Go to developers.facebook.com and click on Log In in the top right.  Log in using your personal Facebook credentials.
Hover over My Apps and then click on Add a New App.

Enter your app Display N

			
		

	





	

		

			

				
					
目前流行的移动端应用开发技术栈

				
			

			

				

					03-13
				

			

		

		

			
				
目前流行的移动端应用开发技术栈主要包括原生开发和跨平台开发两种方式。

1. 原生开发:原生开发是指使用特定平台提供的开发语言和工具进行应用开发。对于iOS平台,使用Objective-C或Swift语言,使用Xcode开发工具;对于Android平台,使用Java或Kotlin语言,使用Android Studio开发工具。原生开发可以充分利用平台的特性和性能,提供更好的用户体验和性能表现。

2. 跨平台开发:跨平台开发是指使用一种统一的开发语言和框架,通过编译或解释器将应用程序转换为不同平台的原生代码。常见的跨平台开发技术栈包括React Native、Flutter和Ionic等。

- React Native是由Facebook开发的跨平台框架,使用JavaScript语言进行开发,可以同时在iOS和Android平台上构建原生应用。
- Flutter是由Google开发的跨平台框架,使用Dart语言进行开发,可以同时在iOS、Android、Web和桌面平台上构建原生应用。
- Ionic是一个基于HTML、CSS和JavaScript的跨平台框架,可以使用Web技术进行应用开发,并通过Cordova将应用打包成原生应用。

以上是目前流行的移动端应用开发技术栈的简要介绍。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值