Vérifiez le jeton d'accès Facebook pour une application spécifique

J'ai besoin de vérifier que les utilisateurs sur mon iPhone, les app sont effectivement connecté à mon Facebook app. Je suis en mesure de vérifier leur id utilisateur par la récupérer avec leur jeton d'Accès:

https://graph.facebook.com/me?fields=id&access_token=XXXXXXXXXXXXXXX

La question de la sécurité, je pense, c'est que, ils peuvent m'envoyer un jeton d'accès valide, et ce sera le retour de leur nom d'utilisateur. J'ai besoin aussi de valider ce jeton est pour mon application. Est-il un moyen de retourner l'ID de l'Application de la présente demande de valider?

source d'informationauteur Eric Di Bari

12

Oui. Vous pouvez interroger ce:
```
https://graph.facebook.com/app?access_token=TOKEN
```
Il sera de retour le nom, l'id et plusieurs statistiques sur l'application qui a créé le jeton d'accès.
19

Facebook prend maintenant en charge le débogage d'un Jeton d'Accès. Vous pouvez récupérer les informations liées à un Jeton d'Accès par l'émission d'une requête GET à la debug_token connexion. Quelque chose comme:
```
GET /debug_token?
     input_token={input-token}&
     access_token={access-token}
```
Où,
d'entrée-jeton: le jeton d'accès que vous souhaitez obtenir de l'information sur et accès à jeton: votre application jeton d'accès ou un utilisateur valide jeton d'accès
un développeur de l'application

Et cela renvoie les informations suivantes:
```
{
        "data": {
            "app_id": 000000000000000, 
            "application": "Social Cafe", 
            "expires_at": 1352419328, 
            "is_valid": true, 
            "issued_at": 1347235328, 
            "scopes": [
                "email", 
                "publish_actions"
            ], 
            "user_id": 1207059
        }
    }
```
Vous pouvez obtenir plus d'informations à ce sujet dans le Obtenir de l'Info sur les Jetons et le Débogage de référence.

Voici mon implémentation en Python 3, la mise en œuvre d'un seul Facebook Lot Demande.
Cela devrait vous obtenez la fois l'APPLICATION et les données de l'UTILISATEUR, qui est lié à l'utilisateur access_token, dans un appel.

#Build the batch, and urlencode it
batchRequest = '[{"method":"GET","relative_url":"me"}, {"method":"GET","relative_url":"app"}]'
batchRequestEncoded = urllib.parse.quote_plus(batchRequest)

#Prepare the batch and access_token params
dataParams = 'access_token=%s&batch=%s' % (fb_access_token, batchRequestEncoded)
dataParamsEncoded = dataParams.encode()
fbURL = 'https://graph.facebook.com/'

#This will POST the request
response = urllib.request.urlopen(fbURL, dataParamsEncoded)

#Get the results
data = response.read()
data = json.loads(data.decode("utf-8"))

Il y a probablement une plus pythonic façon de mettre en œuvre certaines de l'encodage des appels que j'ai écrit, mais je voulais juste montrer ce qu'est exactement a fonctionné pour moi.

0

Vous pouvez utiliser appsecret_proof sur vos appels de l'api.

De la la documentation officielle:

Jetons d'accès sont portables. Il est possible de prendre un jeton d'accès
généré sur un client par Facebook du SDK, l'envoyer à un serveur, puis
faire des appels à partir de ce serveur sur le nom du client.

Vous pouvez éviter cela en ajoutant la appsecret_proof paramètre pour chaque
Les appels de l'API à partir d'un serveur et permettant la mise en exiger la preuve sur
tous les appels. Cela empêche les méchants de faire des appels de l'API avec votre
les jetons d'accès à partir de leurs serveurs.

Exemple:
```
https://graph.facebook.com/app?access_token=TOKEN&appsecret_proof=<app secret proof>
```
En PHP:
```
$endpoint = sprintf(
    'https://graph.facebook.com/app?access_token=%s&appsecret_proof=%s',
    urlencode($accessToken),
    urlencode(
        hash_hmac('sha256', $accessToken, $appSecret)
    )
);
```
Vous pouvez maintenant confiance que la réponse que vous avez obtenu peut être utilisé pour l'authentification.

Vous devez vous connecter pour publier un commentaire.