我的网站使用了终身访问令牌(offline_access)。但是,如果用户更改密码,访问令牌将重置。在调用Graph API之前,有没有一种方法可以检查当前访问令牌是否有效?谢谢你的时间。
Answers:
基本上,FB希望您对其进行轮询或检测情况并重定向用户以进行重新认证。烦人,但官方:
(旧的,过时的链接。请参见下文) https://developers.facebook.com/blog/post/500/
编辑:Facebook更改了其链接结构而无需重定向。不奇怪。
https://developers.facebook.com/blog/post/2011/05/13/how-to--handle-expired-access-tokens/
如果您想知道令牌的到期时间,可以使用appid和token传递一个开放的图形URL,如下所示,它将起作用。
https://graph.facebook.com/oauth/access_token_info?client_id=APPID&access_token=xxxxxxxxx
client_id这里的参数不起作用。您可以忽略它。
实时更新将使您能够解决此问题,但这将非常复杂。基本上,您可以订阅更新,这些更新将告诉您1)用户是否删除了应用程序,或2)用户删除了权限。您可以使用它来存储faceboook用户的当前权限。这样,如果用户删除了您的应用,您将知道访问令牌已过期。
实时更新实际上是Facebook建议的处理权限的方法。每次加载页面以检查权限时,许多应用都会进行api调用。这往往是缓慢且不可靠的。
我浏览了这些帖子,发现我发现了很好的解决方案,例如:
GET graph.facebook.com/debug_token?
input_token={token-to-inspect}
&access_token={app_id}|{app_secret}
该请求的响应为您提供了所需的一切:
只需注意“ |” 标志必须以字母形式存在
//When user access token expires user must be logged in and renew the access token him self.it is a Facebook policy
//you can overcome this by sending email to users who have expired access token.
//create a table of successful sending to monitor sending process
//if any failure happened with the user an email is sent to him to ask him to activate there account again.with a link to your subscription page.
//and here is the code should be written on that page.
$app_id = "YOUR_APP_ID";
$app_secret = "YOUR_APP_SECRET";
$my_url = "YOUR_POST_LOGIN_URL";
// known valid access token stored in a database
$access_token = "YOUR_STORED_ACCESS_TOKEN";
$code = $_REQUEST["code"];
// If we get a code, it means that we have re-authed the user
//and can get a valid access_token.
if (isset($code)) {
$token_url="https://graph.facebook.com/oauth/access_token?client_id="
. $app_id . "&redirect_uri=" . urlencode($my_url)
. "&client_secret=" . $app_secret
. "&code=" . $code . "&display=popup";
$response = file_get_contents($token_url);
$params = null;
parse_str($response, $params);
$access_token = $params['access_token'];
}
// Attempt to query the graph:
$graph_url = "https://graph.facebook.com/me?"
. "access_token=" . $access_token;
$response = curl_get_file_contents($graph_url);
$decoded_response = json_decode($response);
//Check for errors
if ($decoded_response->error) {
// check to see if this is an oAuth error:
if ($decoded_response->error->type== "OAuthException") {
// Retrieving a valid access token.
$dialog_url= "https://www.facebook.com/dialog/oauth?"
. "client_id=" . $app_id
. "&redirect_uri=" . urlencode($my_url);
echo("<script> top.location.href='" . $dialog_url
. "'</script>");
}
else {
echo "other error has happened";
}
}
else {
// success
echo("success" . $decoded_response->name);
echo($access_token);
}
// note this wrapper function exists in order to circumvent PHP's
//strict obeying of HTTP error codes. In this case, Facebook
//returns error code 400 which PHP obeys and wipes out
//the response.
function curl_get_file_contents($URL) {
$c = curl_init();
curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($c, CURLOPT_URL, $URL);
$contents = curl_exec($c);
$err = curl_getinfo($c,CURLINFO_HTTP_CODE);
curl_close($c);
if ($contents) return $contents;
else return FALSE;
}
离线-无法
询问用户是否已授予权限:
https://graph.facebook.com/{facebook-id}/permissions?access_token={access-token}
如果访问令牌无效,则将给出错误:
{
error:{
message:"The access token could not be decrypted",
type:"OAuthException",
code:190
}
}
否则,它将给出用户已授予的权限列表:
data:[
{
installed:1,
...... permission list.........
bookmarked:1
}
]
奥托(Otto)对Facebook帖子的回答似乎是对此问题的官方回答,但是它使用纯PHP而不是SDK,还使用JS解决了该问题,而不是PHP。如果使用PHP检查有效的会话,则通常需要使用PHP方法来确保有效的会话才能继续。
以下代码使用图形API检查me对象。如果引发异常,它将破坏*当前的Facebook会话。
try{
$facebook->api('/me');
}
catch( FacebookApiException $e ){
$facebook->destroySession();
}
这迫使以后的图形调用实例化一个新的Facebook会话。这至少使您能够访问公共数据,以便您可以呈现不需要FB用户权限的页面:
$facebook->api('/userName');
要重新获得用户访问权限,用户将需要登录到您的应用程序(这与登录Facebook本身不同)。您可以使用JS或PHP执行此操作:
$facebook->getLoginUrl();
*请注意,destroySession()调用尚未在PHP SDK的标记版本中。使用master分支或对其进行修补。