我有一个应用程序,我想使用Facebook的重新身份验证功能以及FB登录访问我们的网站(https://developers.facebook.com/docs/facebook-login/reauthentication/)。这应该要求用户输入他们的FB密码才能访问我们的网站。单击登录按钮时,FB对话框弹出正常并要求此人重新输入其密码。
但是,对于过去曾获得应用程序权限(过去已成功登录)的用户,我们发现如果他们只关闭该对话框窗口,则会授予他们访问权限,就好像重新生成方法没有t存在。这应该是一个错误,要求此人在框中重新输入密码。
值得注意的是,当弹出对话框时,在用户输入密码之前,URL中已存在访问令牌。我怀疑应用程序正在接受这个旧的访问令牌,这就是用户即使关闭窗口也能访问的原因。
有什么想法吗?