CSRF状态令牌与提供的令牌不匹配

时间:2012-08-14 17:15:44

标签: php facebook facebook-graph-api

我知道有关于#34的问题有很多关于stackoverflow的帖子; CSRF状态令牌与提供的不匹配。"但是,我试过并没有解决这个问题。你能看一下我下面的代码吗?请告诉我您的想法以及如何解决问题。我已经更新到最新的PHP SDK版本。

<?
require_once ('src/facebook.php');
require_once ('src/fbconfig.php');

//Facebook Authentication part
$user_id = $facebook->getUser();
$loginUrl = $facebook->getLoginUrl(array(
    'scope' => 'publish_stream')
);

if ($user_id) {
    $_SESSION['user_id'] = $user_id;
    echo "<script>top.location.href = 'https://www.example.com/app-folder/welcome'</script>"; 
    exit;
} 
?>
    .
    .
<body>
<?php echo '<a href="'.$loginUrl.'" target="_top">Please login</a>'; ?>
    .
    .
</body>

4 个答案:

答案 0 :(得分:11)

getLoginUrl()生成一个新令牌。如果您的用户已经登录(使用$user_id = $facebook->getUser()),那么您最终将获得2个令牌。

如果用户已经过身份验证,请不要询问$ loginUrl。

$user_id = $facebook->getUser();

if ($user_id) {
    $_SESSION['user_id'] = $user_id;
    echo "<script>top.location.href = 'https://www.example.com/app-folder/welcome'</script>"; 
    exit;
} else {
    $loginUrl = $facebook->getLoginUrl(array(
        'scope' => 'publish_stream')
    );
}

&GT;

答案 1 :(得分:0)

我必须做以下事情:

  1. 仅在第一页(即登录/索引)上使用PHP SDK's getLoginUrl并将其从所有其他页面中删除。
  2. 使用FB.getLoginStatus() from the Javascript SDK and fallback to the FB.login()或重定向到登录/索引页面
  3. 在尝试可能需要有效access_token的任何内容之前检查FB.getLoginStatus()

    4. 我确信主要问题是我在每一页上都打了 getLoginUrl

    由于我进行了这些更改,因此当机器人点击我的网页时,我只会在日志中收到“CSRF状态令牌”错误。

答案 2 :(得分:0)

尽管Facebook PHP API文档中没有说明,但您必须为PHP会话配置apache才能使登录过程正常工作。结果证明,当我们得到“CSRF状态令牌与提供的令牌不匹配”时,我们遇到的问题。

确保您使用的服务器池设置为使用memcache来获取会话信息,否则apache将在本地写入会话信息,如果下一个请求未转到同一服务器,您将获得“CSRF状态令牌与提供的令牌不匹配。”

这是在开发环境中(有一台服务器)就像魅力一样但在生产中失败的事情之一。

我们还必须重新配置我们的CDN设置,以确保我们通过PHP Session cookie。

答案 3 :(得分:-3)

解决方法:
转到base_facebook.php

寻找protected function getCode()这就是问题所在 $this->state变量不会保留用于场外导航(自然)

替换这个:

if ($this->state !== null &&
isset($_REQUEST['state']) &&
$this->state === $_REQUEST['state']) {

用这个:

if ($_REQUEST['state'] != '' && $_REQUEST['code'] != '') {

它会很好用

相关问题
最新问题