我基本上想保存给定用户的 Facebook ID,以便我可以通过 Facebook 接收更多材料。理想情况下,我想要一个既不使用 javascript 也不使用 cookie 的解决方案,仅使用服务器端,但没有示例,只有说明,所以我整理了一个我们可以讨论的解决方案。当我将用户链接到我的网站的 OAuth 对话框时,我认为这是我认为有效的代码:
https://www.facebook.com/dialog/oauth?client_id=164355773607006&redirect_uri=http://www.kewlbusiness.com/oauth
然后我像这样处理它来获取用户数据:
class OAuthHandler(webapp2.RequestHandler):
def get(self):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://www.koolbusiness.com/oauth',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = facebook.GraphAPI(access_token)
user = graph.get_object("me")
self.response.out.write(user["id"])
self.response.out.write(user["name"])
因此,有了这个,我可以为我的网站“使用 Facebook 登录”,而无需使用很多我们不想要的凌乱的 javascript 和 cookie。我想为我的网站启用“使用 Facebook 登录”。它应该在没有 cookie 和 javascript 的情况下工作,但他们试图让你做的第一件事是 Javascript 和 cookie。因此,我制定了一个似乎无需 cookie 和 javascript 即可工作的解决方案,只需 OAuth 2.0:您能谈谈我的“解决方案”吗?我正在寻找的实际用途是启用简单的功能,FB 用户在我的网站上做了什么,并允许 Facebook 帐户以标准化的方式登录。
我只是认为它必须在没有 javascript SDK 和没有 cookie 的情况下工作,似乎就是这样。你能告诉我这个“解决方案”的优点和缺点是什么吗?我认为它比 Javascript + Cookie 要好得多,那么当最小的示例似乎是 100% 服务器端时,为什么他们会欺骗我们使用 javascript 和 cookie?
谢谢
更新 看起来正确并且行为正确,我还可以将用户数据与数据存储一起使用,并将我的 FB 名称呈现到首页,无需 javascript 和 cookie,只需 python:
class FBUser(db.Model):
id = db.StringProperty(required=True)
created = db.DateTimeProperty(auto_now_add=True)
updated = db.DateTimeProperty(auto_now=True)
name = db.StringProperty(required=True)
profile_url = db.StringProperty()
access_token = db.StringProperty(required=True)
name = db.StringProperty(required=True)
picture = db.StringProperty()
email = db.StringProperty()
friends = db.StringListProperty()
dirty = db.BooleanProperty()
class I18NPage(I18NHandler):
def get(self):
if self.request.get('code'):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://www.kewlbusiness.com/',
)
logging.debug("client_id"+str(args))
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
logging.debug("reading file")
token_response = file.read()
logging.debug("read file"+str(token_response))
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = main.GraphAPI(access_token)
user = graph.get_object("me") #write the access_token to the datastore
fbuser = main.FBUser.get_by_key_name(user["id"])
logging.debug("fbuser "+str(fbuser))
if not fbuser:
fbuser = main.FBUser(key_name=str(user["id"]),
id=str(user["id"]),
name=user["name"],
profile_url=user["link"],
access_token=access_token)
fbuser.put()
elif fbuser.access_token != access_token:
fbuser.access_token = access_token
fbuser.put()
self.render_jinja(
'home_jinja',request=self.request,fbuser=user,...
拥有 facebook 用户的变量 fbuser 和 google 用户的变量 user 现在承认我可以将 facebook 用于我的网站,而没有错误、混乱、不必要的 javascript + cookie。
现在我可以从我的网站渲染和查看我的 facebook 名称,这很棒,它最终以它应该独立于 javascript 并且不需要 cookie 的方式工作。
当服务器端 OAuth 2.0 是最干净的解决方案时,为什么文档推荐 javascript + cookie?您是否同意这是最好的解决方案,因为它不依赖于您使用 javascript 还是 cookie?
更新 当我现在看到其他人无法使用服务器代码注销时,可能出现重复的问题,他们不得不求助于 Javascript SDK,并且要求它必须并且应该在没有 javascript 的情况下工作,所以我做了一些调试并发现“清除” cookie,我不得不更改 cookie 的名称,虽然它有效,但我希望得到您的评论和/或测试您认为我的项目如何解决这个问题。像这样的注销链接应该可以工作,但不能。如果我注销两次它可以工作,这就是为什么这是一个奇怪的错误,因为我可以修复它,但我仍然不知道是什么让注销需要第二次点击:
https://www.facebook.com/logout.php?next=http://www.myappengineproject.com&access_token=AAACVewZBArF4BACUDwnDap5OrQQ5dx0jsHEKPJkIJJ8GdXlYdni5K50xKw6s8BSIDZCpKBtVWF9maHMoJeF9ZCRRYM1zgZD
看起来我并不是唯一一个试图完全避免使用 javascript 来使用 OAuth 2.0 服务器端的解决方案的人。人们可以做任何事情,但他们无法注销:
OAuth 2.0 with Facebook 的官方文档说:
您可以通过将用户定向到以下 URL 来将用户从他们的 Facebook 会话中注销:
https://www.facebook.com/logout.php?next=YOUR_URL&access_token=ACCESS_TOKEN
YOUR_URL 必须是您的站点域中的 URL,如开发人员应用程序中所定义。
我想在服务器端做所有事情,我发现建议的链接方式留下了 cookie,因此注销链接不起作用:
https://www.facebook.com/logout.php?next=http://{{host}}&access_token={{current_user.access_token}}
它确实重定向但它不会记录我网站的用户。这似乎是一个 Heisenbug,因为这对我来说正在改变并且没有太多文档。无论如何,我似乎能够使用操纵 cookie 的处理程序来实现该功能,从而实际上用户已注销:
class LogoutHandler(webapp2.RequestHandler):
def get(self):
self.set_cookie("fbsr_" + facebookconf.FACEBOOK_APP_ID, None, expires=time.time() - 86400)
self.redirect("/")
def set_cookie(self, name, value, expires=None):
if value is None:
value = 'deleted'
expires = datetime.timedelta(minutes=-50000)
jar = Cookie.SimpleCookie()
jar[name] = value
jar[name]['path'] = '/'
if expires:
if isinstance(expires, datetime.timedelta):
expires = datetime.datetime.now() + expires
if isinstance(expires, datetime.datetime):
expires = expires.strftime('%a, %d %b %Y %H:%M:%S')
jar[name]['expires'] = expires
self.response.headers.add_header(*jar.output().split(': ', 1))
因此,将处理程序映射到 /auth/logout 并将其设置为链接可以有效地将用户从我的网站中注销(而不是将用户从 facebook 中注销,希望并且未经测试)
我的代码的其他一些部分正在处理 OAuth 令牌和用于 Oauth 通信的 cookie 查找:
def get(self):
fbuser=None
profile = None
access_token = None
accessed_token = None
logout = False
if self.request.get('code'):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://self.get_host()/',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = main.GraphAPI(access_token)
user = graph.get_object("me") #write the access_token to the datastore
fbuser = main.FBUser.get_by_key_name(user["id"])
logging.debug("fbuser "+fbuser.name)
if not fbuser:
fbuser = main.FBUser(key_name=str(user["id"]),
id=str(user["id"]),
name=user["name"],
profile_url=user["link"],
access_token=access_token)
fbuser.put()
elif fbuser.access_token != access_token:
fbuser.access_token = access_token
fbuser.put()
current_user = main.get_user_from_cookie(self.request.cookies, facebookconf.FACEBOOK_APP_ID, facebookconf.FACEBOOK_APP_SECRET)
if current_user:
graph = main.GraphAPI(current_user["access_token"])
profile = graph.get_object("me")
accessed_token = current_user["access_token"]
我没有创建登录处理程序,因为登录基本上是我的根请求处理程序中的代码。我的用户类如下:
class FBUser(db.Model):
id = db.StringProperty(required=True)
created = db.DateTimeProperty(auto_now_add=True)
updated = db.DateTimeProperty(auto_now=True)
name = db.StringProperty(required=True)
profile_url = db.StringProperty()
access_token = db.StringProperty(required=True)
name = db.StringProperty(required=True)
picture = db.StringProperty()
email = db.StringProperty()
我一起模拟了两个基本的提供者
,我为 facebook 用户使用变量 current_user,为 google 用户使用变量 user,为正在登录的用户使用变量 fbuser,因此没有 cookie 匹配。
我使用的 cookie 查找代码如下,我想我理解它并且它可以满足我的需求:
def get_user_from_cookie(cookies, app_id, app_secret):
"""Parses the cookie set by the official Facebook JavaScript SDK.
cookies should be a dictionary-like object mapping cookie names to
cookie values.
If the user is logged in via Facebook, we return a dictionary with the
keys "uid" and "access_token". The former is the user's Facebook ID,
and the latter can be used to make authenticated requests to the Graph API.
If the user is not logged in, we return None.
Download the official Facebook JavaScript SDK at
http://github.com/facebook/connect-js/. Read more about Facebook
authentication at http://developers.facebook.com/docs/authentication/.
"""
logging.debug('getting user by cookie')
cookie = cookies.get("fbsr_" + app_id, "")
if not cookie:
logging.debug('no cookie found')
return None
logging.debug('cookie found')
response = parse_signed_request(cookie, app_secret)
if not response:
logging.debug('returning none')
return None
args = dict(
code = response['code'],
client_id = app_id,
client_secret = app_secret,
redirect_uri = '',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
logging.debug('returning cookie')
return dict(
uid = response["user_id"],
access_token = access_token,
)
我不得不学习 cookie 来解决这个问题,我希望你能发表更多评论。输出欢迎消息需要 3 个变量,一个用于 google 用户,一个用于登录的 facebook 用户,以及用于答案中提到的案例的变量 fbuser:
当您尝试对新用户进行身份验证时,将使用 JavaScript/Cookie。这在您的数据库中不存在,并且您没有他的 accessToken。
所以我不得不使用 3 个变量,也许你可以只使用 2 个变量?
{% if user or current_user or fbuser %}
<div id="user-ident">
<span>{% trans %}Welcome,{% endtrans %} <b>{{ current_user.name }}{% if not current_user and user %}{{ user.nickname() }}{% endif %}{% if not current_user and not user and fbuser %}{{ fbuser.name }}{% endif %}</span>
</div>
{% endif %}