問題タブ [facebook-oauth]

oauth_token を詮索好きな目から守ることはどれほど重要ですか? たとえば、javascript で渡すのを避けて、php-land だけに保持する必要がありますか、それとも便利なように使用しても害はありませんか? 私は、ユーザーがそれを使ってどのような悪事を行うことができるかを理解しようとしていますが、手動でリクエストに返信したり、自分の情報を調べたりする以外は、かなり無害であるように思われます.

ID URL で HTTP GET を実行するときに application/xrds+xml と呼ばれる特別な MIME タイプを要求することにより、開発者は実装する代替手段を選択できます。

Facebookでこれは可能ですか（Facebook Connectの使用に対して）

Facebookログインボタンを使用する際にキャンセルURLを提供することは可能ですか?

私は、ブロモhttp://forum.developers.facebook.net/viewtopic.php?id=106817によってフォーラムでも尋ねられた次の質問に対する答えを必死に探しています。

現在使用しているものの違いは何ですか

そして現在ドキュメントに表示されているもの

「https://www.facebook.com/dialog/oauth」がまだ有効であるか、Oauth2の移行で非推奨になるかどうかについて、Facebookドキュメントで参照を見つけることができません。

ありがとうデイブ

ユーザーが Facebook を使用して当社の Web サイトにログインできるようにするアプリに取り組んでいます。また、既存のログインシステムも整備されているので、これも使い続けたいと思っています。目的は、新しい Facebook ユーザーをユーザー データベースに保存し、今後 Facebook 経由でログインすることを決定した場合に既存のユーザーを統合することです。

私のアプリは電子メールの許可を求めますが、ユーザーが xxxx@proxymail.facebook.com アドレスを使用する可能性があることに気付きました。重複したユーザー レコードを作成しないために、このプロキシメール アドレスがユーザーとアプリの組み合わせに対して一意かどうかを知りたいです。

つまり、ユーザーがアプリを許可せずに再度許可した場合、このユーザーは新しいプロキシメール アドレスを取得しますか?それとも、アプリとユーザーが離れている間、同じままになりますか?

Facebookの認証ドキュメントとDevからは明らかではありません。一部の古い認証メソッドの非推奨に、カスタムである古いRESTAPI認証メソッドの非推奨も含まれる場合のロードマップ。

私のアプリケーションは、REST APIとFQL（fql.queryメソッドを介して）のみを使用します。また、10月1日までにアプリをOAuth 2に変換する必要がありますか？

重複の可能性:
Play フレームワークに # =を追加して、OAuth2 経由で Facebook 認証後にリダイレクトしますか?

他の誰かがこれが起こるのを見ましたか?

Facebook PHP SDK と Javascript を使用して Facebook キャンバス アプリを作成しています。
ユーザーを OAuth 認証フローに通すと、ブラウザーの URL に自動的に this が追加されることに気付きました。その"#_=_"ため、私の URL は次のようになります。

アプリのプロファイル ページにリダイレクトすると、URL は次のようになります。

を使用してリダイレクトしています

キャンバス URL に

アプリのプロフィール ページ用。

では、なぜこれ#_=_が追加されるのでしょうか。

アップデート：

tracker のこのバグによると、これは仕様によるものであり、 に値を指定してredirect_uriもこれは変わりません。

そして、そのページの公式のFacebookの返信によると（投稿を表示するには、Facebookにログインする必要があります）：

これは、潜在的なセキュリティの脆弱性を防ぐため、「設計による」とマークされています。

一部のブラウザーは、リダイレクト先の新しい URL の末尾に URL のハッシュ フラグメントを追加します (その新しい URL 自体にハッシュ フラグメントがない場合)。

たとえば、example1.com が example2.com へのリダイレクトを返す場合、example1.com#abc にアクセスするブラウザは example2.com#abc にアクセスし、example1.com のハッシュ フラグメント コンテンツは example2 のスクリプトからアクセス可能になります。 .com。

ある認証フローを別の認証フローにリダイレクトできるため、あるアプリの機密認証データに別のアプリからアクセスできるようになる可能性があります。

これは、リダイレクト URL に新しいハッシュ フラグメントを追加して、このブラウザの動作を防ぐことで緩和されます。

結果の URL の美学またはクライアント側の動作が問題になる場合は、window.location.hash (または独自のサーバー側リダイレクト) を使用して、問題のある文字を削除することができます。

Facebook OAuth ダイアログは、ユーザーが以前にアプリケーションへのアクセスを承認し、すべての権限を提供した場合、プロンプトなしで指定された redirect_uri にリダイレクトされます ...

その動作を上書きして、ダイアログでユーザーに再度許可を求めるように強制したい...

ドキュメントには、これが可能かどうかについてのヘルプが提供されていないため、これが可能かどうか疑問に思います。

難しい問題があります。難しいとは、ネットとStackOverflow、およびFBJS SDKのドキュメント全体を検索しても、答えが見つからないことを意味します。

ファンがrsvpイベントに参加できるようにするページタブアプリケーションを作成しています。したがって、ユーザーがログインしているかどうかを確認する必要があり、ログインしていない場合はログインする必要があります。とても簡単に聞こえますが、FB.getLoginStatusはコールバック関数を起動しません。これはコードの抜粋です：

そして、もちろん、ユーザーがボタンをクリックした後、FB.getLoginStatusを呼び出すだけですが、何も実行されないようです。

サンドボックスモード、FB.initの成功、アプリケーション設定のURL、および開発環境をすでに確認しました。FB.uiを呼び出すことはできますが、メソッド：'oauth'を使用すると、「「redirect_uri」パラメーターを「next」パラメーターと組み合わせて使用​​することはできません。これは非推奨です」というエラーメッセージが表示されます。「next」パラメータを使用しなかったため、これは非常に奇妙です。しかし、undefinedの横に設定すると、正常に動作し、ウィンドウが表示されますが、「指定されたURLはアプリケーション構成で許可されていません」と表示されます。それから期待して、私はログインすることができます、そして私はaccess_tokenを持っています。ただし、新しいウィンドウでは、getLoginStatusはまだ何もしません。

ですから、どんなアドバイスも歓迎します。

ありがとう、タマス

更新：

}

更新2：スタンドアロンのWebサイトとして構成されている別のURLに新しいアプリを作成しました。これらのコードは完全に機能し、getLoginStatus、ログインなどができます。FBのコンテキストと、FB JavaScript SDKを使用するスタンドアロンのWebサイトで機能することに違いはありますか？

私はFB.uiを使用して、アプリケーションのFacebookタブで簡単に認証しています:

承認はうまくいきますが、ユーザーがアプリケーションを確認しても、関連する fbsr_xxxxx cookie が設定されません。強制する方法はありますか？応答オブジェクトには user_id が含まれていますが、signed_request を使用した標準フローを使用したいと思います。