0

Facebook几周前在http://developers.facebook.com/docs/user_registration发布了一个注册插件 。

我想知道我们如何用 Tornado 实现这一点?

我一直收到一个错误:403 POST /auth/fbform (127.0.0.1): '_xsrf' argument missing from POST

redirect_url 为http://localhost:8888/auth/fbform ,代码如下:

class FBFormLoginHandler(BaseHandler, tornado.web.RequestHandler):
    def get(self):
        print "i'm in GET"
        print self.request
        # parse and check data
        data = _parse_signed_request(self.request['_xsrf'], "XXXXX")
        return
    def post(self):
        print "i'm in POST"
        print self.request
        # parse and check data
        data = _parse_signed_request(self.request['_xsrf'], "XXXXX")
        return

    def _parse_signed_request(signed_request, app_secret):
        print "hello in parse_signed_request"
        try:
          l = signed_request.split('.', 2)
          encoded_sig = str(l[0])
          payload = str(l[1])
        except IndexError:
          raise ValueError("'signed_request' malformed")

        sig = base64.urlsafe_b64decode(encoded_sig + "=" * ((4 - len(encoded_sig) % 4) % 4))
        data = base64.urlsafe_b64decode(payload + "=" * ((4 - len(payload) % 4) % 4))

        data = json.loads(data)

        if data.get('algorithm').upper() != 'HMAC-SHA256':
          raise ValueError("'signed_request' is using an unknown algorithm")
        else:
          expected_sig = hmac.new(app_secret, msg=payload, digestmod=hashlib.sha256).digest()

        if sig != expected_sig:
          raise ValueError("'signed_request' signature mismatch")
        else:
          return data

我不明白错误消息在说哪个 POST,所以我尝试使用 get 和 post 函数中的 _parse_signed_request 。

请赐教。顺便说一句,我目前正在本地计算机上工作。

最好的祝福。

4

1 回答 1

1

您必须在该端点上禁用 CSRF 检查,因为请求来自 Facebook 而不是您自己的站点

http://www.tornadoweb.org/documentation#cross-site-request-forgery-protection

于 2011-03-04T10:26:21.673 回答