无缝的方式来检查用户是否喜欢页面

时间:2011-03-16 18:15:28

标签: php facebook facebook-page

所以,我在我的标签上使用了iFrame,我正在做其中一个"喜欢路障"用户需要喜欢该页面才能查看秘密内容。是否有更好,更无缝的方式做到这一点,然后不得不请求许可?

我知道对于使用FBML构建的标签,他们不会要求许可,但我猜这是因为它不是iframe。

谢谢!

1 个答案:

答案 0 :(得分:20)

当然可以!正如documentation中所述,Facebook会在signed_request

中向您发送一些额外的详细信息
  

当用户导航到Facebook时   页面,他们将看到您的页面标签   添加到下一个可用选项卡中   位置。从广义上讲,页面标签是   以与a完全相同的方式加载   画布页面。当用户选择您的   页面标签,你会收到   signed_request参数有一个   附加参数,页面。这个   参数包含一个JSON对象   一个id(当前的页面ID   页面),admin(如果用户是管理员   (页面)和喜欢(如果用户   喜欢这个页面)。和Canvas一样   页面,你不会收到所有的   您可以访问的用户信息   应用程序在signed_request中直到   用户授权您的应用。

tutorial获取的代码应该是:

<?php
if(empty($_REQUEST["signed_request"])) {
    // no signed request where found which means
    // 1- this page was not accessed through a Facebook page tab
    // 2- a redirection was made, so the request is lost
    echo "signed_request was not found!";
} else {
    $app_secret = "APP_SECRET";
    $data = parse_signed_request($_REQUEST["signed_request"], $app_secret);
    if (empty($data["page"]["liked"])) {
        echo "You are not a fan!";
    } else {
        echo "Welcome back fan!";
    }
}

function parse_signed_request($signed_request, $secret) {
    list($encoded_sig, $payload) = explode('.', $signed_request, 2); 

    // decode the data
    $sig = base64_url_decode($encoded_sig);
    $data = json_decode(base64_url_decode($payload), true);

    if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
        error_log('Unknown algorithm. Expected HMAC-SHA256');
        return null;
    }

    // check sig
    $expected_sig = hash_hmac('sha256', $payload, $secret, $raw = true);
    if ($sig !== $expected_sig) {
        error_log('Bad Signed JSON signature!');
        return null;
    }

    return $data;
}

function base64_url_decode($input) {
    return base64_decode(strtr($input, '-_', '+/'));
}
?>

更新后的代码:虽然之前的代码可行。我没有检查请求的有效性。这意味着有人可以篡改请求并向您发送虚假信息(admin设置为true)。代码已根据signed_request documentation方法更新。