Passport.js: passeport-facebook-jeton de la stratégie, de la connexion par le biais de JS SDK et ENSUITE s'authentifier passeport?

J'étais à la recherche d'un moyen pour que mon client autoriser avec le facebook JS SDK, puis en quelque sorte de transfert de la présente autorisation à mon nœud de serveur (donc il peut vérifier les demandes avec le fb api graphique)

Je suis tombé sur:
https://github.com/jaredhanson/passport-facebook/issues/26

https://github.com/drudge/passport-facebook-token

ce qui semble être une tout autre stratégie de passeport, de facebook.

Suis-je correct lorsqu'on fait l'hypothèse que:

L'on se connecte avec le fb JS SDK, puis le facebook du jeton de stratégie en quelque sorte des extraits du jeton et fb id du document ou de l'objet body?

Ou est-il de toute autre manière décente pour y parvenir? Je suis à savoir en essayant d'éviter les redirections exécutée par le serveur Sdk

Après quelques recherches je pense à la req.corps.accessToken doit être défini par le client, puis il peut être repris par passeport-facebook-jeton?

InformationsquelleAutor matthiasdv | 2014-01-05

36

J'ai passé une couple de jours de cette semaine à essayer de comprendre la meilleure façon d'utiliser Facebook Authentification pour une API privée, à l'aide de passport.js — passeport-facebook-jeton est parfait pour cela.

Vous avez raison de supposer il s'agit de deux stratégies d'authentification. Vous n'avez pas besoin de passeport, de facebook pour l'utilisation du passeport-facebook-jeton.

Si vous avez Facebook d'authentification mis en œuvre dans le côté client en JS (ou iOS, etc.), et sont à la recherche d'un moyen pour ensuite s'authentifier les requêtes de l'API à l'aide de votre nom d'utilisateur Facebook authToken, passeport-facebook-jeton est vraiment une solution élégante.

passeport-facebook-jeton fonctionne de façon totalement indépendante de passeport, de facebook, et fondamentalement gère les redirections nécessaires par Facebook en interne, avant de transmettre la demande ainsi que de votre contrôleur.

Afin d'authentifier une API itinéraire à l'aide de passeport-facebook-jeton, vous aurez besoin de mettre en place un passeport de la stratégie de la sorte:
```
passport.use('facebook-token', new FacebookTokenStrategy({
    clientID        : "123-your-app-id",
    clientSecret    : "ssshhhhhhhhh"
  },
  function(accessToken, refreshToken, profile, done) {
    //console.log(profile);

    var user = {
        'email': profile.emails[0].value,
        'name' : profile.name.givenName + ' ' + profile.name.familyName,
        'id'   : profile.id,
        'token': accessToken
    }

    //You can perform any necessary actions with your user at this point,
    //e.g. internal verification against a users table,
    //creating new user entries, etc.

    return done(null, user); //the user object we just made gets passed to the route's controller as `req.user`
  }
));
```
Il est intéressant de noter que la User.findOrCreate méthode utilisée dans le passeport-facebook-jeton Readme n'est pas un défaut mongo/mangouste méthode, mais un plugin que vous aurez à installer si vous le souhaitez.

Pour utiliser cette auth stratégie en tant que middleware pour l'un de vos routes, vous aurez besoin de passer un access_token objet en tant que paramètre de l'URL, ou comme une propriété du corps de la requête.
```
app.get('/my/api/:access_token/endpoint', 
        passport.authenticate(['facebook-token','other-strategies']), 
        function (req, res) {

            if (req.user){
                //you're authenticated! return sensitive secret information here.
                res.send(200, {'secrets':['array','of','top','secret','information']});
            } else {
                //not authenticated. go away.
                res.send(401)
            }

        }
```
NB. le access_token propriété est sensible à la casse et utilise un trait de soulignement.
La documentation de passeport-facebook-jeton n'est pas vaste, mais la source est vraiment bien documenté et assez facile à lire, donc je vous encourage à jeter un oeil sous le capot, là. Il m'a bien aidé envelopper ma tête autour de quelques façons que passeport œuvres.
- Savez-vous si le passeport-facebook-jeton prend en charge les sessions (ou stratégie similaire)? Ou faut-il envoyer une demande de valider l'access_token à Facebook serveurs à chaque requête?
- Il prend en charge les sessions. Il a été une couple de mois maintenant, depuis que je l'ai installé, mais je crois que la façon dont je me suis tout de travail, vous pouvez le configurer pour stocker l'validé access_token, les contrôles contre que d'abord, puis valide avec Facebook si cela ne correspond pas. Si vous voulez pour valider avec Facebook à chaque fois, vous pouvez activer les sessions off.
- Salut Orangetronic. Savez-vous comment le refreshToken fonctionne - j'ai regardé la documentation et il ne donne pas beaucoup d'info sur lui. Je veux demander un nouveau jeton lorsque l'ancien jeton a expiré...une idée de comment c'est fait? Merci!
- Sur le dessus de ma tête, la façon dont j'ai fini le traitement expiré auth jetons était de faire en sorte que le serveur invite le client à la demande d'un nouveau jeton d'authentification ( FB.login() ) si le jeton a été expiré. Cela fait un bon moment depuis que j'ai ma tête dans ce genre de choses mais...
- Ne pas le '/mon/api/:auth_token/point de terminaison "être" /mon/api/:access_token/point de terminaison"?
- vous avez tout à fait raison! — J'ai édité la réponse à refléter le fait que la correction, merci!
- J'ai été en utilisant cette middleware et trouvé quelque chose d'étrange. Même si je les utilise mal d'identification du client et client secret, je suis en mesure d'obtenir les détails du client. Plus d'informations sur github.com/drudge/passport-facebook-token/issues/65
- hein — c'est certainement pas l'idéal!
- Je suis non autorisé, lors de la prise d'appel de Facteur. Lien stackoverflow.com/q/43557408/1939163
- N'est-ce pas la meilleure pratique pour passer jeton d'accès comme en-tête, au lieu de paramètre GET?
- sans doute serait!
InformationsquelleAutor

Vous devez vous connecter pour publier un commentaire.