-2

我需要一个始终相同的 facebook 用户的唯一 ID 代码,因此我可以将其与 FB 用户 ID 一起保存在我的网站数据库中,以便用户通过 facebook 进一步登录。不幸的是,authResponse 只包含临时 ID:

authResponse: {
   accessToken: '...', // expire
   expiresIn:'...',
   signedRequest:'...', // expire
   userID:'...'
}

我无法仅使用 FB 用户 ID 登录用户...这太不安全了,因为我必须通过 javascript 将 authResponse 信息发送到 php。(PHP SDK 不适用于我的网络空间 [无 root 访问权限])。

有什么解决办法吗?或者也许是另一种在不使用 PHP SDK 的情况下登录/验证 Facebook 用户进入我的网站的方式?

感谢帮助!

编辑:
提交我的问题后,我发现了这个类似的帖子:如何通过 Facebook 的 Javascript SDK 安全地授权用户

提问者提到了一种在后续步骤中通过 facebook 通过 cookie 提供的加密信息对用户进行身份验证的方法。
我现在将尝试解密此 cookie 信息,就像我在“通过 facebook 注册”部分所做的那样。使用我的 appID 和 securityID。

4

1 回答 1

1

通过加密的 cookie 信息对 facebook 用户进行身份验证的方法很好:

这里的代码:

// PHP script which get visitor's FB ID over $_GET['fbid'] (for example through ajax or javascript redirect)
if(isset($_GET['fbid'])) {
    define('FACEBOOK_APP_ID', 'YOUR APP ID');
    define('FACEBOOK_SECRET', 'YOUR SECRET ID');

    function parse_signed_request($signed_request, $secret) {
        list($encoded_sig, $payload) = explode('.', $signed_request, 2);

        // decode the data
        $sig = base64_url_decode($encoded_sig);
        $data = json_decode(base64_url_decode($payload), true);

        if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
                error_log('Unknown algorithm. Expected HMAC-SHA256');
                return null;
        }

        // check sig
        $expected_sig = hash_hmac('sha256', $payload, $secret, $raw = true);
        if ($sig !== $expected_sig) {
            error_log('Bad Signed JSON signature!');
            return null;
        }

        return $data;
    }

    function base64_url_decode($input) {
        return base64_decode(strtr($input, '-_', '+/'));
    }

    // Check if Facebooks cookie is set
    if(isset($_COOKIE['fbsr_' . FACEBOOK_APP_ID])) {
        $response = parse_signed_request($_COOKIE['fbsr_' . FACEBOOK_APP_ID], FACEBOOK_SECRET);

        // Check if userID sent by visitor is the same like decrypted userID given from cookie
        if($response['user_id'] == $_GET['fbid']) {
            // Login script here
            echo "Successfully authenticated!";
        } else {
            // userID sent by visitor is modified
            echo "Please don't use others FB ID!";
        }
    } else {
        // Facebook cookie is not set
        echo "Please allow cookies!";
    }

}
于 2013-01-07T14:35:13.950 回答