Abrufen der Anwendungs-ID vom Benutzerzugriffstoken (oder Überprüfen der Quellanwendung für ein Token)

Fand ich diese Frageeine Antwort, aber facebook verändert das token-format sein, da dann, jetzt ist es etwas wie:

AAACEdEose0cBACgUMGMCRi9qVbqO3u7mdATQzg[more funny letters]ig8b3uss9WrhGZBYjr20rnJu263BAZDZD

Kurz, man nicht folgern kann nichts von ihm.
Ich fand auch die access token debugger, das zeigt die Informationen, die ich bin auf der Suche für, wenn Sie fügen Sie ein token, das ist schön, aber nicht mir helfen wollen, es programmatisch.

Punkt ist, wenn jemand bekommt ein token für einen Benutzer, kann er es verwenden, um den Zugriff auf die Grafik, die ist, was ich in meiner Bewerbung - ich möchte sicher sein, dass die Menschen mit der Weiterleitung der token ausgestellt wurde, um Sie in meiner Anwendung, und nicht die andere.

Meine Bewerbung fließen wird:

  1. Get access token von facebook (nichts besonderes, in der Art, wie es beschrieben wird in hier , Server-side-Flow. (auch iPhone-und android und verwendet werden, aber Sie haben ähnliche fließt, wenn ich mich Recht erinnere))
    [Gerät] - <-> [facebook]
  2. Mit diesem access token, das Gerät Zugang zu meiner application server mit dem token
    [Gerät] - <-> [Jonathan]
    Auf meinem server mache ich das Zugriffstoken für den Benutzer und verwenden, die Berechtigungen zu erteilen, dass die Benutzer meiner Anwendung. (mit dem facebook connect, um Benutzer zu authentifizieren)

Meine Anwendung ist gesichert, und der Zugang erfolgt auch authentifiziert, unabhängig von facebook, ABER! in diesem Fluss, der einer schwachen link, den ich identifiziert ist, dass ich mich nicht authentifizieren kann für Sie sicher, dass der access-token, die ich bekam war signiert haben für meine Anwendung - ich weiß es nicht, weil ich die Token cache für die offline-Nutzung, will ich 100% sicher, Sie sind für meine Anwendung, mit meinen Berechtigungen.

Was also wird die (beste) Art und Weise zu authentifizieren, dass die token, die ich habe ist in Bezug auf meine Anwendung (für relation zu user, ich benutze die token, um den Zugriff /die mich und sehen, welche Benutzer dieses token ist für)

Brauche ich nicht zum entschlüsseln der token (ich denke, es ist eine Art AES), ich bin gerade auf der Suche nach einem endpoint, der wird mir sagen, das token, passte zu dem Anwendungs-id.

(EDIT: Mit dem C# SDK, wenn es darauf ankommt.. Aber ein graph - /rest-Aufruf zu geben, die info ist nur so gut wie gut 🙂 )

InformationsquelleAutor der Frage Jonathan Levison | 2011-11-15

  1. 58

    https://graph.facebook.com/app/?access_token=%5Buser_access_token%5D

    Das liefert die app diese token generiert wurde, können Sie vergleichen, dass Sie gegen Ihre app-id.

    InformationsquelleAutor der Antwort Daaniel

  2. 24

    Die offiziellen Graphen Endpunkt für die Prüfung von Zugangs-Token:

    GET graph.facebook.com/debug_token?
      input_token=[user_access_token]&
      access_token=[app_token_or_admin_token]

    Beispiel Antwort:

    {
    "data": {
        "app_id": 138483919580948, 
        "application": "Social Cafe", 
        "expires_at": 1352419328, 
        "is_valid": true, 
        "issued_at": 1347235328, 
        "metadata": {
            "sso": "iphone-safari"
        }, 
        "scopes": [
            "email", 
            "publish_actions"
        ], 
        "user_id": 1207059
    }
}

    app_token_or_admin_token werden können, die mit Hilfe der Graph-API-Aufruf:

    GET graph.facebook.com/oauth/access_token?
     client_id={app-id}
    &client_secret={app-secret}
    &grant_type=client_credentials

    Den debug_token endpoint fehl, wenn das user_access_token gehört nicht zu der app, generiert die app_token_or_admin_token.

    Relevanten facebook-Dokumentation:

    InformationsquelleAutor der Antwort vially

  3. 5

    Einen dokumentierten Weg, um dies sicherzustellen, ist die Verwendung appsecret_proof.

    GET graph.facebook.com/v2.5/me?access_token=[TOKEN]&appsecret_proof=[PROOF]

    Dieser überprüft nicht nur, dass es ein gültiges token, aber auch, dass das token gehört zu der app. Es bekommt Ihr auch user-Daten in einem Rutsch.

    Können Sie ableiten PROOF oben in C# unter Verwendung dieser (aus hier):

    public static string ComputeHmacSha256Hash(string valueToHash, string key)
{
    byte[] keyBytes = Encoding.ASCII.GetBytes(key); 
    byte[] valueBytes = Encoding.ASCII.GetBytes(valueToHash);
    byte[] tokenBytes = new HMACSHA256(keyBytes).ComputeHash(valueBytes);
    valueBytes = null;
    keyBytes = null; 

    StringBuilder token = new StringBuilder();
    foreach (byte b in tokenBytes)
    {
        token.AppendFormat("{0:x2}", b);
    }
    tokenBytes = null; 

    return token.ToString();
}

ComputeHmacSha256Hash(accessToken, appSecret);

    InformationsquelleAutor der Antwort Nuno Cruces

  4. 3

    Warum nicht verwenden offiziellen Weg, Dinge zu tun? Hier ist die Anfrage von FB-eigenen video-zur Sicherheit.

    Anfrage:
    https://graph.facebook.com/debug_token?input_token={token-to-check}&access_token={app_id}|{app_secret}

    Antwort:
    "data": { "app_id": {token-app-id}, "user_id": {token-user-id}, ... }

    Link zu einem offiziellen video: https://www.facebook.com/FacebookforDevelopers/videos/10152795636318553/

    Ich einen screenshot gemacht, so dass die Zeit sichtbar ist, und Sie finden weitere Informationen, wenn Sie interessiert sind.

    Abrufen der Anwendungs-ID vom Benutzerzugriffstoken (oder Überprüfen der Quellanwendung für ein Token)

    InformationsquelleAutor der Antwort Raimundas Sakalauskas

Schreibe einen Kommentar