我有一个应用程序,我最初在PHP中编码为服务器端身份验证。
但是,我希望客户端对我的服务器进行AJAX调用,然后基于Facebook userId在我的数据库中进行一些查询。我不能只接受userId变量,因为任何人都可以欺骗它,所以我想我需要访问用户的accessToken。
但是,这是对服务器上的PHP文件的AJAX调用,我无法使用与示例中所示相同的服务器端身份验证方法。
所以我认为客户端需要通过AJAX调用传递FB访问令牌,然后我验证访问令牌服务器端,然后使用它来获取用户的id和其他信息。
但是,如果我使用服务器端身份验证,客户端实际上从未从Facebook检索其访问令牌,只有服务器拥有它,这意味着客户端无法传递访问令牌。
我的问题是:一旦我进行了原始服务器端验证,我是否应该根据cookie存储访问令牌服务器端,然后以这种方式获取access_token?
或者,Facebook应用程序是否有更好的做法,以便我不必担心通过cookie欺骗泄漏访问令牌?
答案 0 :(得分:3)
首先,您不应将访问令牌存储在cookie中或通过ajax调用发送它。访问令牌是一个必须始终不可见的合理数据。
我不知道这是否是最好的方法,但我总是使用signedRequest。这是一个发送到您服务器的安全数据,因为它是用您的应用程序机密加密的,没有人知道......
如果您将signedRequest(从FB JS SDK)传递到服务器,则可以检索有效的访问令牌。在PHP中,它看起来像这样,假设您通过POST传递signedRequest:
$signed_request = $_POST['signedRequest'];
$data = parseSignedRequest($signed_request);
$token_url= 'https://graph.facebook.com/oauth/access_token?' .
'client_id=' . YOUR_APP_ID .
'&redirect_uri=' . // when using the JS signedRequest, leave this blank
'&client_secret=' . YOUR_APP_SECRET .
'&code=' . $data["code"];
$response = file_get_contents($token_url);
$params = null;
parse_str($response, $params);
$access_token = $params['access_token']; // here is your access token
您需要这些功能:
function parseSignedRequest($signed_request) {
list($encoded_sig, $payload) = explode('.', $signed_request, 2);
// decode the data
$sig = base64UrlDecode($encoded_sig);
$data = json_decode(base64UrlDecode($payload), true);
if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
return 'Unknown algorithm. Expected HMAC-SHA256';
}
// check sig
$expected_sig = hash_hmac('sha256', $payload, YOUR_APP_SECRET, $raw = true);
if ($sig !== $expected_sig) {
return 'Bad Signed JSON signature!';
}
return $data;
}
function base64UrlDecode($input) {
return base64_decode(strtr($input, '-_', '+/'));
}
当然,如果您将访问令牌存储在数据库中,则无需通过此操作,但请注意令牌过期。
如果用户已经授权您的应用并登录Facevook,您可以从Cookie $_COOKIE[('fbsr_' . YOUR_APP_ID)]检索signedRequest,但我对这些数据不太信任......