如何在Facebook上获取应用程序访问令牌以进行debug_token检查?

时间:2013-05-20 00:47:08

标签: facebook oauth authorization facebook-access-token implicit

建议您的应用使用代码或令牌作为您的response_type,您应该对access_token执行自动检查,以确认该令牌属于该应用期望其所属的人,并且该应用已生成令牌。

您应该在

上执行此操作 
GET graph.facebook.com/debug_token?
 input_token={token-to-inspect}
 &access_token={app-token-or-admin-token}

其中app-token是app_id | app_secret,token-to-inspect是用户的access_token。此外,我认为通过阅读文档,您可以通过使用app_id和app_secret进行客户端凭据调用来检索应用程序令牌。

这对于服务器端实现的授权流来说很好,但是如果你使用隐式方法并选择response_type作为令牌(并且出于何种原因不使用FB的javascript SDK)会怎么样?如何在不泄漏app_secret的情况下安全地获取该app-token? FB的SDK是如何做到的?

1 个答案:

答案 0 :(得分:4)

您可以在Facebook开发人员面板here中生成app_token  然后只需将其保存到配置文件服务器端。从开发者的页面:

  

应用令牌不会过期,因为它们与您的应用秘密有关,因此应保密。

在我的页面上,我使用以下流程:

  1. 用户使用Facebook JS SDK进行身份验证,然后发送他的 token + uid到服务器。
  2. 服务器验证给定的令牌 通过调用“debug_token”与给定的人相关 方法,你所说的。
  3. 如果令牌+ uid组合有效, 它验证用户服务器端。

    4. 我希望这会有所帮助。

相关问题
最新问题