我有一个应用程序,我想使用 Facebook 的重新身份验证功能以及 FB 登录来访问我们的网站(https://developers.facebook.com/docs/facebook-login/reauthentication/)。这应该要求用户输入他们的 FB 密码才能访问我们的网站。单击登录按钮时,会弹出 FB 对话框并要求此人重新输入密码。
但是,对于过去已授予应用程序权限的用户(过去已成功登录),我们发现如果他们只是关闭该对话框窗口,他们就会被授予访问权限,就好像重新验证方法不存在一样全部。这应该会引发错误,要求该人在框中重新输入密码。
值得注意的是,当对话框弹出时,在用户输入密码之前,URL 中已经存在访问令牌。我怀疑该应用程序正在接受这个旧的访问令牌,这就是用户即使关闭窗口也可以获得访问权限的原因。
有任何想法吗?