有没有办法检查 Facebook 访问令牌是否仍然有效?

我的站点使用生存期访问令牌(offline_access)。但是,如果用户更改了密码,访问令牌将被重置。在调用 Graph API 之前,是否有检查当前访问令牌是否有效的方法?谢谢你抽出时间。

91372 次浏览
小开

离线,不发任何东西到脸书,我不这么认为。最简单的方法可能是向以下人员发送请求:

https://graph.facebook.com/me?access_token=...

Facebook 也支持对 实时的更新的订阅,但我不确定如何将它们应用到这种情况中。

小开

实时更新允许您解决这个问题,但是它会非常复杂。基本上,你可以订阅更新,它会告诉你1)用户是否删除了应用程序,或者2)用户是否删除了权限。你可以使用这个来存储 facebook 用户的当前权限。这样,如果用户删除了您的应用程序,您就会知道访问令牌已过期。

实时更新实际上是 Facebook 推荐的处理权限的方式。许多应用程序在每次加载页面时都会进行 api 调用以检查权限。这往往是缓慢和不可靠的。

小开
最佳答案

基本上,FB 希望您对它进行轮询,或者检测这种情况并重定向用户以获得一个 reauth。烦人,但正式:

(旧的,过时的链接,见下文) < a href = “ https://developers.facebook.com/blog/post/500/”rel = “ norefrer”> https://developers.facebook.com/blog/post/500/

编辑: Facebook 在没有重定向的情况下改变了链接结构,这并不奇怪。

Https://developers.facebook.com/blog/post/2011/05/13/how-to——handle-expired-access-tokens/

小开

Otto 对 facebook 帖子的回答似乎是对这个问题的官方回应,但是它使用了直接的 PHP 而不是 SDK,并且还使用了 JS 而不是 PHP 来解决这个问题。如果您使用 PHP 来检查有效的会话,那么通常需要一个 PHP 方法来确保有效的会话才能继续。

下面的代码使用图形 API 检查 me 对象。如果抛出异常,它会破坏当前的 Facebook 会话。

try{
$facebook->api('/me');
}
catch( FacebookApiException $e ){
$facebook->destroySession();
}

这迫使后面的图表调用实例化一个新的 Facebook 会话。这至少使您可以访问公共数据,以便您可以呈现不需要 FB 用户权限的页面:

$facebook->api('/userName');

要重新获得用户权限访问,用户需要登录到您的应用程序(这与登录到 Facebook 本身是不同的)。您可以使用 JS 或 PHP 来实现这一点:

$facebook->getLoginUrl();

* 请注意,在 PHP SDK 的标记版本中还没有 demorySession ()调用。使用主分支或将其接入。

小开

如果您想知道令牌到期时间,可以使用下面的 appid 和令牌传递一个打开的图形 URL。

https://graph.facebook.com/oauth/access_token_info?client_id=APPID&access_token=xxxxxxxxx
小开

您可以使用令牌调试服务检查令牌,请在这里查看

Https://graph.facebook.com/debug_token?input_token=input_token&access_token=access_token

Https://developers.facebook.com/docs/howtos/login/debugging-access-tokens/

小开 
        //When user access token expires user must be logged in and renew the access token him self.it is a Facebook policy
//you can overcome this by sending email to users who have expired access token.
//create a table of successful sending to monitor sending process
//if any failure happened with the user an email is sent to him to ask him to activate there account again.with a link to your subscription page.
//and here is the code should be written on that page.
$app_id = "YOUR_APP_ID";
$app_secret = "YOUR_APP_SECRET";
$my_url = "YOUR_POST_LOGIN_URL";


// known valid access token stored in a database
$access_token = "YOUR_STORED_ACCESS_TOKEN";


$code = $_REQUEST["code"];


// If we get a code, it means that we have re-authed the user
//and can get a valid access_token.
if (isset($code)) {
$token_url="https://graph.facebook.com/oauth/access_token?client_id="
. $app_id . "&redirect_uri=" . urlencode($my_url)
. "&client_secret=" . $app_secret
. "&code=" . $code . "&display=popup";
$response = file_get_contents($token_url);
$params = null;
parse_str($response, $params);
$access_token = $params['access_token'];
}




// Attempt to query the graph:
$graph_url = "https://graph.facebook.com/me?"
. "access_token=" . $access_token;
$response = curl_get_file_contents($graph_url);
$decoded_response = json_decode($response);


//Check for errors
if ($decoded_response->error) {
// check to see if this is an oAuth error:
if ($decoded_response->error->type== "OAuthException") {
// Retrieving a valid access token.
$dialog_url= "https://www.facebook.com/dialog/oauth?"
. "client_id=" . $app_id
. "&redirect_uri=" . urlencode($my_url);
echo("<script> top.location.href='" . $dialog_url
. "'</script>");
}
else {
echo "other error has happened";
}
}
else {
// success
echo("success" . $decoded_response->name);
echo($access_token);
}


// note this wrapper function exists in order to circumvent PHP's
//strict obeying of HTTP error codes.  In this case, Facebook
//returns error code 400 which PHP obeys and wipes out
//the response.
function curl_get_file_contents($URL) {
$c = curl_init();
curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($c, CURLOPT_URL, $URL);
$contents = curl_exec($c);
$err  = curl_getinfo($c,CURLINFO_HTTP_CODE);
curl_close($c);
if ($contents) return $contents;
else return FALSE;
}
小开

离线-这是不可能的

询问用户是否给予许可:

https://graph.facebook.com/{facebook-id}/permissions?access_token={access-token}

如果访问令牌无效,那么它将显示错误:

{
error:{
message:"The access token could not be decrypted",
type:"OAuthException",
code:190
}
}

否则,它将给出用户已给予的权限列表:

data:[
{
installed:1,
...... permission list.........
bookmarked:1
}
]
小开

随着 OP 之后情况的变化而更新:

您可以在这里调试访问令牌: https://developers.facebook.com/tools/debug/accesstoken?version=v2.5&q={ access _ token }

小开

我浏览了这些帖子,伙计,我发现了很好的解决方案,像这样:

GET graph.facebook.com/debug_token?
input_token={token-to-inspect}
&access_token={app_id}|{app_secret}

此请求的响应为您提供所需的一切:

  • 您的应用程序 ID -这将验证令牌是否来自您的应用程序
  • 应用程序名 -也可以检查
  • Expires _ at -令牌过期时间
  • Is _ valid-boolean for check up
  • User _ id -您还可以对其进行比较和检查

请注意“ |”标志必须以字母的形式出现


提交答案