IE使用授权时无限循环

时间:2011-05-17 10:45:58

标签: c# facebook oauth infinite-loop authorize

我正在开发一个Facebook应用程序,如果访问者通过Facebook授权,我只想允许访问某些视图。这应该是一个非常简单的任务,我认为是,直到我在IE中尝试它。以下代码在Chrome和Safari中正常运行。我想使用Forms身份验证,因此我已经设置了

<forms loginUrl="~/Account/Login" timeout="2880" />
web.config中的

。这会在访问我的应用程序时将访问者引导到以下ActionResult:

    public ActionResult Login(string returnUrl)
    {
        ManagerGame2.Utilities.StaticDataContent.InitStaticData();

        var oAuthClient = new FacebookOAuthClient();
        oAuthClient.AppId = FacebookApplication.Current.AppId;
        oAuthClient.RedirectUri = new Uri(redirectUrl);
        var loginUri = oAuthClient.GetLoginUrl(new Dictionary<string, object> { { "state", returnUrl } });
        return Redirect(loginUri.AbsoluteUri);
    }

然后用户被重定向到Facebook页面,并且访问令牌被发送回我的OAuth ActionResult:

public ActionResult OAuth(string code, string state)
    {
        FacebookOAuthResult oauthResult;
        if (FacebookOAuthResult.TryParse(Request.Url, out oauthResult))
        {
            if (oauthResult.IsSuccess)
            {
                var oAuthClient = new FacebookOAuthClient();
                oAuthClient.AppId = FacebookApplication.Current.AppId;
                oAuthClient.AppSecret = FacebookApplication.Current.AppSecret;
                oAuthClient.RedirectUri = new Uri(redirectUrl);
                dynamic tokenResult = oAuthClient.ExchangeCodeForAccessToken(code);
                string accessToken = tokenResult.access_token;

                DateTime expiresOn = DateTime.MaxValue;

                if (tokenResult.ContainsKey("expires"))
                {
                    DateTimeConvertor.FromUnixTime(tokenResult.expires);
                }

                FacebookClient fbClient = new FacebookClient(accessToken);
                dynamic me = fbClient.Get("me?fields=id,name");
                long facebookID = Convert.ToInt64(me.id);


                Account acc = (from x in db.Account.OfType<Account>() where x.FaceBookID == facebookID select x).FirstOrDefault();
                if (acc == null)
                {
                    acc = CreateAccount(me);
                }
                acc.LatestLogin = DateTime.Now;
                db.Entry(acc).State = EntityState.Modified;
                db.SaveChanges();

                MemoryUserStore.CurrentAccount = acc;

                UserRoleProvider usp = new UserRoleProvider();
                usp.GetRolesForUser(acc.AccountID.ToString());
                FormsAuthentication.SetAuthCookie(acc.AccountID.ToString(), false);

                if (Url.IsLocalUrl(state))
                {
                    return Redirect(state);
                }
                return RedirectToAction("Details", "Account", new { id = acc.AccountID });
            }
        }

        return RedirectToAction("Index", "Account");
    }

我在这里尝试做的是首先验证我从重定向返回的令牌是否有效。如果是,那么我提取一些关于访问者的数据,如FacebookID和Name。然后我将它与我的数据库匹配,以查看用户是否已经存在,如果没有,我创建一个。我还在我的自定义角色提供程序中为用户分配了一个角色,但在此之前我遇到了无限循环问题。然后我设置

FormsAuthentication.SetAuthCookie(acc.AccountID.ToString(), false);

我认为这是跟踪访客是否被授权的核心。据我了解,当访问者试图调用需要[授权]的ActionResult时,系统将检查此cookie。

嗯,有人可以澄清为什么上面的代码在Chrome / Safari中有效,但是在IE中无限循环登录然后是OAuth吗?

我的应用正在使用MVC 3,EF Code First和Facebook C#SDK 5.0.25

2 个答案:

答案 0 :(得分:1)

好的,所以我发现问题是由[Authorize]注释触发的,正如预期的那样。 Facebook SDK有一个[CanvasAuthorize]注释,当我切换到使用它时,IE工作正常,不会永远登录。

在此之前,我尝试使用无cookie验证,但IE仍然不想继续播放。

据我所知,问题出现是因为Facebook应用程序在IFrame中。据说这会搞砸饼干和信任。如果有人知道为什么会这样,我会很高兴听到它。

此外,如果有人知道如何使用和维护角色,使用[CanvasAuthorize],我很高兴知道。

答案 1 :(得分:0)

我知道这似乎很明显,但你确定在IE中没有禁用cookie吗?可以选择在开发人员工具中禁用cookie。

相关问题
最新问题