我做了一个测试Facebook应用程序只是为了玩,我正在使用会话来存储身份验证。我正在使用omniauth。当我从http://fbbtest.heroku.com/登录然后刷新页面时,会话仍然保存,并且表示我已登录。当我从画布http://apps.facebook.com/herokutestapp/尝试它时,它会将我登录,重定向回并且说我已经登录但是当我手动刷新它然后说我没有登录。是否有一些特殊的东西我必须处理rails 3中的会话以便它也适用于facebook画布?
这是我目前在控制器和视图中的内容
def index
end
def create
session['fb_auth'] = request.env['omniauth.auth']
session['fb_token'] = session['fb_auth']['credentials']['token']
session['fb_error'] = nil
redirect_to root_path
end
def destroy
clear_session
redirect_to root_path
end
def failure
clear_session
session['fb_error'] = 'In order to use this site you must allow us access to your Facebook data<br />'
redirect_to root_path
end
def clear_session
session['fb_auth'] = nil
session['fb_token'] = nil
session['fb_error'] = nil
end
索引视图
<div class="container">
<h1>Heroku FB Test application</h1><br />
<div class="center"><br />
<%=session[:fb_error]%>
<% if session[:fb_token] %>
<p>
Successfully logged in.
</p>
<a href='logout'>Logout</a>
<% else %>
<%= session[:fb_error] %><br />
<%= link_to "Log in with Facebook", "/auth/facebook",:class => "popup", :"data-width" => 600, :"data-height" => 400 %> <br />
<p>
please log in
</p>
<% end %>
</div>
</div>
答案 0 :(得分:9)
您可能遇到的问题是Rails CSRF伪造检测会使您的身份验证的某些部分变得不可思议,因为请求是以HTTP方法POST形式发出的。
ApplicationController中的第一行可能是:
class ApplicationController < ActionController::Base
protect_from_forgery
[...]
删除'protect_from_forgery'行,看看这是否有助于解决您的问题。如果情况确实如此,请返回并在更有限的基础上进行设置(仅限相关控制器,请参阅此处的文档:http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html)
有一个很好的例子可以让Omniauth在http://www.communityguides.eu/articles/16工作,完整的示例代码位于https://github.com/markusproske/omniauth_pure。在那,他们有以下内容:
class ServicesController < ApplicationController
before_filter :authenticate_user!, :except => [:create, :signin, :signup, :newaccount, :failure]
protect_from_forgery :except => :create
你需要这两行的一些变体来使omniauth,facebook和rails会话很好地协同工作。如果这对您不起作用,请将您的OmniAuth :: Builder信息从environment / production.rb(详细信息已删除)以及用于身份验证的控制器中的任何其他相关代码发布,这将有助于调试此问题。
使用facebook开发rails应用程序使用http://tunnlr.com或其他服务(或只是一个ssh隧道http://blog.kenweiner.com/2007/09/reverse-ssh-tunnel-for-facebook.html)进行调试可能会更容易,这些服务允许您在本地计算机上运行调试器,它非常简单有助于解决这些问题。
答案 1 :(得分:1)
Facebook iframe中的会话和Cookie非常难以使用,但并非不可能。在尝试开展每日投票一次的竞赛时,我已经面对过几次。
解决方案是使用P3P标头。老实说,我不太确定它们是如何工作的,但它减少了iframe中跨浏览器cookie的问题 - 尤其是IE和Safari。
将以下内容添加到每个页面的顶部:
header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"');
这可能无法准确解决您的问题,但希望它可以帮助您走上正确的道路。
答案 2 :(得分:0)
如果我cookies.permanent.signed[:fb_auth]它允许我返回到Facebook中的应用程序而无需重新登录。这是绕过无法通过iFrame工作的会话的最佳方式吗?
答案 3 :(得分:0)
这听起来像是第三方Cookie问题。如果您只通过Facebook访问该网站,您确定使用cookies.permanent.signed正常工作吗?尝试清除cookie,重新启动浏览器,然后转到Facebook画布页面并再次测试。
在Firefox中,尝试转到工具 - &gt;选项 - &gt;隐私,并查看是否取消选中“接受第三方Cookie”。如果是,请尝试检查并再次测试。
第三方cookie可能会给您带来问题并不奇怪,令人困惑的部分是为什么使用持久性cookie会产生任何不同。
如果您确实确认第三方Cookie存在问题,那么如果您希望每个人都可以访问该应用,我担心没有简单的解决方案。您必须完全停止使用cookie,并仅使用GET / POST传递的值来维护会话状态。