所以,我在我的标签上使用了 iFrame,我正在做一个“喜欢的障碍”,用户需要喜欢页面才能查看秘密内容。有没有更好,更无缝的方式来做到这一点,然后必须征求许可?
我知道使用 FBML 构建的选项卡,他们不要求许可,但我猜那是因为它不是 iframe。
谢谢!
所以,我在我的标签上使用了 iFrame,我正在做一个“喜欢的障碍”,用户需要喜欢页面才能查看秘密内容。有没有更好,更无缝的方式来做到这一点,然后必须征求许可?
我知道使用 FBML 构建的选项卡,他们不要求许可,但我猜那是因为它不是 iframe。
谢谢!
当然可以!如文档中所述,Facebook 将在以下位置向您发送一些额外的详细信息signed_request
:
当用户导航到 Facebook 页面时,他们将看到您的页面标签添加到下一个可用标签位置。从广义上讲,页面选项卡的加载方式与画布页面完全相同。当用户选择您的页面选项卡时,您将收到带有一个附加参数 page 的 signed_request 参数。这个参数包含一个带有 id(当前页面的页面 id)、admin(如果用户是页面的管理员)和 like(如果用户喜欢该页面)的 JSON 对象。与 Canvas 页面一样,在用户授权您的应用之前,您不会在 signed_request 中收到您的应用可访问的所有用户信息。
从我的教程中获取的代码应该是这样的:
<?php
if(empty($_REQUEST["signed_request"])) {
// no signed request where found which means
// 1- this page was not accessed through a Facebook page tab
// 2- a redirection was made, so the request is lost
echo "signed_request was not found!";
} else {
$app_secret = "APP_SECRET";
$data = parse_signed_request($_REQUEST["signed_request"], $app_secret);
if (empty($data["page"]["liked"])) {
echo "You are not a fan!";
} else {
echo "Welcome back fan!";
}
}
function parse_signed_request($signed_request, $secret) {
list($encoded_sig, $payload) = explode('.', $signed_request, 2);
// decode the data
$sig = base64_url_decode($encoded_sig);
$data = json_decode(base64_url_decode($payload), true);
if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
error_log('Unknown algorithm. Expected HMAC-SHA256');
return null;
}
// check sig
$expected_sig = hash_hmac('sha256', $payload, $secret, $raw = true);
if ($sig !== $expected_sig) {
error_log('Bad Signed JSON signature!');
return null;
}
return $data;
}
function base64_url_decode($input) {
return base64_decode(strtr($input, '-_', '+/'));
}
?>
更新的代码:虽然以前的代码可以工作。我没有检查请求的有效性。这意味着有人可能会篡改请求并向您发送虚假信息(例如将 设置admin
为true
!)。代码已按照signed_request
文档方法进行了更新。