我需要一个facebook用户的唯一ID代码,它始终是相同的,所以我可以将它与FB userID一起保存在我的网站数据库中,以便通过facebook进一步登录用户。 不幸的是,authResponse只包含临时ID:
authResponse: {
accessToken: '...', // expire
expiresIn:'...',
signedRequest:'...', // expire
userID:'...'
}
我无法仅使用FB用户ID登录用户...这将太不安全,因为我必须通过javascript将authResponse信息发送到php。 (PHP SDK不适用于我的网站空间[无root访问权限])。
有什么解决方案吗?或者可能是另一种在不使用PHP SDK的情况下登录/验证Facebook用户进入我的网站的方法吗?
感谢您的帮助!
编辑:
提交问题后,我发现了类似的帖子:How to securely authorize a user via Facebook's Javascript SDK
提问者提到了一种通过加密信息在后续步骤中对用户进行身份验证的方法,该信息是通过cookie从Facebook提供的。
我现在会尝试解密这个cookie信息,就像我在“facebook facebook注册”中所做的那样。使用我的appID和securityID。
答案 0 :(得分:1)
通过加密的cookie信息验证Facebook用户的方法很好:
这里是代码:
// PHP script which get visitor's FB ID over $_GET['fbid'] (for example through ajax or javascript redirect)
if(isset($_GET['fbid'])) {
define('FACEBOOK_APP_ID', 'YOUR APP ID');
define('FACEBOOK_SECRET', 'YOUR SECRET ID');
function parse_signed_request($signed_request, $secret) {
list($encoded_sig, $payload) = explode('.', $signed_request, 2);
// decode the data
$sig = base64_url_decode($encoded_sig);
$data = json_decode(base64_url_decode($payload), true);
if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
error_log('Unknown algorithm. Expected HMAC-SHA256');
return null;
}
// check sig
$expected_sig = hash_hmac('sha256', $payload, $secret, $raw = true);
if ($sig !== $expected_sig) {
error_log('Bad Signed JSON signature!');
return null;
}
return $data;
}
function base64_url_decode($input) {
return base64_decode(strtr($input, '-_', '+/'));
}
// Check if Facebooks cookie is set
if(isset($_COOKIE['fbsr_' . FACEBOOK_APP_ID])) {
$response = parse_signed_request($_COOKIE['fbsr_' . FACEBOOK_APP_ID], FACEBOOK_SECRET);
// Check if userID sent by visitor is the same like decrypted userID given from cookie
if($response['user_id'] == $_GET['fbid']) {
// Login script here
echo "Successfully authenticated!";
} else {
// userID sent by visitor is modified
echo "Please don't use others FB ID!";
}
} else {
// Facebook cookie is not set
echo "Please allow cookies!";
}
}