8

我尝试使用

$facebook->setExtendedAccessToken();
$access_token = $facebook->getAccessToken();

在查看 SDK 后,我发现 setExtendedAccessToken() 函数正在设置长寿命访问令牌

protected static $kSupportedKeys =
array('state', 'code', 'access_token', 'user_id');


$this->setPersistentData(
  'access_token', $response_params['access_token']
);

并且 getAccessToken() 正在返回短期访问令牌

protected $accessToken

那么 setExtendedAccessToken() 的目的是什么,因为它不返回任何内容?

4

2 回答 2

12

@朱利安。非常感谢你在这里的灵感。我能够在不更改任何核心 FB api 文件的情况下完成这项工作。

发生的情况是,setExtendedAccessToken调用将值发送到该值setPersistentData,然后通过 将其发送到会话中constructSessionVariableName

因此,如果我们将其从会话中取出,然后将其设置到 facebook 对象中,我们就完成了。

这是我的代码:

// ask for the extended token and get it from session ...
$facebook->setExtendedAccessToken();
$access_token = $_SESSION["fb_".FB_APP_ID."_access_token"];
// now set it into the facebook object ....
$facebook->setAccessToken($access_token);
// now our fb object will use the new token as usual ...
$accessToken = $facebook->getAccessToken();
于 2012-11-05T00:19:57.440 回答
5

在进一步尝试四处base_facebook.php寻找之后,我发现了以下内容:

  • setExtendedAccessToken();将交换一个短期访问令牌,Facebook返回一个适当的扩展访问令牌。
  • setExtendedAccessToken();将其保存在持久数据缓存中,但这并不意味着getAccessToken();可以访问它,因为getAccessToken();不查询持久缓存。此外,该类似乎将持久数据视为“故障安全”,并且仅在所有其他检索数据的尝试都失败时(即在检查signed_request和解析 a之后code)才使用它。

  • 在我们的例子中,通过返回的访问令牌setExtendedAccessToken();是最新的访问令牌,所以我进行了修复。在底部添加以下行setExtendedAccessToken();

    // Also set the publically accessible access token value to this new extended token

    $this->accessToken = $response_params['access_token'];

  • 警告:即使我们现在有了新的扩展访问令牌,对 Facebook 的后续查询以检索访问令牌(例如在页面刷新后)将返回相同的旧的短期访问令牌。*掌心*

  • 即使在用户注销(从而导致短期令牌过期)并重新登录后,Facebook 也会再次返回一个短期访问令牌。
  • 但是,即使是这种情况,setExtendedAccessToken();也会返回您之前检索到的相同扩展访问令牌。该令牌仍可用于查询用户信息。

所以,这看起来像一个 Facebook 错误,尽管我讨厌这样说。我们可以通过我上面详述的 hack 来解决它,任何后续的获取访问令牌的调用都只会返回一个短暂的访问令牌,可以一次又一次地交换相同的扩展访问令牌。

原始答案

根据这个答案,新的访问令牌保存在持久数据中(正如您在问题中所指出的那样),并且可以通过$facebook->getAccessToken();.

两个相关说明:

  • 该页面还提到,当将短期访问令牌交换为扩展访问令牌时,令牌本身可能会或可能不会更改,尽管到期时间应该已更新以反映更长的到期时间。也许当你打电话时$facebook->getAccessToken();,你只是拿回了相同的令牌,但它的过期时间已经改变了?
  • 每个用户每天只能调用一次将短期访问令牌交换为延长访问令牌的调用。我不知道这是为什么,我不知道如果用户决定取消对您的应用授权并重新授权,该计数器是否会被重置。

来自 Facebook 文档:

当用户使用现有的、有效的、短期用户 access_token 访问您的站点时,您可以选择延长该访问令牌的到期时间。我们的平台每天只会延长一次过期时间,所以即使用户每天多次访问您的网站,令牌也会在第一次请求时延长。(强调我的)

我相信是这种情况,因为草率的程序员会$facebook->setExtendedAccessToken();抓住每一个可能的机会,希望总能检索到扩展的访问令牌。(而不是首选$facebook->setExtendedAccessToken();行为,只有在您当前拥有的是短期访问令牌时才会调用- 但除非您保存了到期日期,否则您将如何判断,这本身并不是可靠的...!)

我的假设是,如果用户取消对应用程序的授权,或者令牌无效,则限制将重置,并且您将能够在传递短期访问令牌时再次检索扩展访问令牌。但是,这需要进一步测试,因此请对本段持保留态度。

于 2012-09-28T13:23:25.523 回答