问题标签 [facebook-access-token]

我有offline_access权限manage_pages，但我不断收到各种 OAuth 错误 - 使用下面的代码我得到

致命错误：未捕获的 OAuthException：验证访问令牌时出错：会话已失效，因为用户已更改密码。

我将用户访问令牌和页面访问令牌都保存在数据库中，然后尝试使用它来更新用户离线时管理的页面。我似乎无法完成这项工作：

上面注释掉的行显示了我尝试无济于事的另一件事。

有人可以帮忙吗？

在获得用户的offline_access权限后，是否可以向用户的朋友发送私信？

在发送应用程序请求时，我知道可以将 app_requests 发送给已经是应用程序一部分的任何用户（使用 app_access_token）。send同样，是否可以在不使用对话框或任何其他需要用户同意的操作的情况下使用 offline_access 权限发送？

Facebook 文档说offline_access已弃用。如何将访问令牌延长 60 天？

我确实offline_access从应用程序的高级设置中启用了弃用。

我想为我的 Facebook 应用程序创建一个分数，并且我知道您需要一个 app_access_token。有些帖子说，获取 app_access_token 的唯一方法是通过 PHP，如下所示：

您通过此 PHP 脚本获得的令牌与您在其上找到的所谓“应用程序令牌”不同吗？

https://developers.facebook.com/tools/access_token/？

（看起来像这样APPLICATION_ID|lvATVyhp1m.............w：）并且实际上与您通过调用获得的相同

https://graph.facebook.com/oauth/access_token?client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=client_credentials直接地。

那么为什么必须通过 PHP 进行这个调用呢？

我想要一个网站（带有 Devise 和 Omniauth 的 Rails 3.1）和一个移动应用程序 (iOS5) 来共享身份验证。我的意思是我希望用户能够使用 Facebook 访问网站，或使用 SSI 访问移动应用程序，并让移动应用程序使用用户的凭据与网站的 API 对话以对网站进行身份验证。

我目前的 Web 端与能够 SSI 到帐户的用户很好地合作。我也有移动应用程序工作，支持用户 SSI。两者都使用相同的 Facebook 应用程序。

我的问题是找到可以用于移动应用程序对站点进行身份验证的两者之间共享的东西。显然两者都可以访问相同的用户 ID，但这似乎不是很安全。我的移动应用程序有一个访问令牌，但这与网站的访问令牌不同，尽管它们看起来很相似，而且我的移动访问令牌过期而我的网络访问令牌没有过期。

Web/Rails 令牌（不是真实的）：

DDDAKnu1dg40BDHEWN0VDssxs8GGF8ZBEEOb38HnS0IUEQC1NSufmPCcGeFkTuw39ZDl7OhlZBD2jwJEqXdAZCtZBflJRQKZB4ZA

移动/iOS 令牌（不是真实的）

BDDAKnu1dg40BDEo3YjZD2hIwjfZB4slXJj3fmHfzLh5q1xZD0ShfJCb6PMjnApkpM0FTuGGvWnzZBQy4GZCMuysEEqhMz8YgruD53TXKTZC0GPFkfVe0b6fe8wieLLOZDDZA

使用 Facebook 的访问令牌调试器，我得到以下信息（令牌之间删除的所有内容都是相同的）：

对于 Web/Rails 令牌：

对于移动/iOS：

除此之外，当使用 facebook 的客户端流程时，您会立即获得访问令牌，而在使用服务器流程时，您首先会获得必须交换访问令牌的授权代码，这两个流程之间有什么区别我应该什么时候使用它们？

更具体地说，我可以使用客户端流并且仍然能够安全地将用户登录到我的应用程序/站点吗？

乍一看，我虽然可以获取我在客户端（通过客户端流）上获得的 access_token 和 id，将它们发送到我的服务器，然后如果对该 ID 和令牌的图形 api 调用没有中断，我可以假设我是与该用户打交道并根据他的 FB ID 将他登录到我的网站。

第二个想法在我看来，如果我不遵循服务器流程，则无法安全地使用客户端 ID 和 access_token 将用户登录到我的应用程序/站点。

我这么说的原因是另一个（黑客）应用程序所有者与我的应用程序“共享”用户。可能会获取他（非法）在他的授权流程中为用户获取的 access_token 和 ID，并使用这些数据伪造对我的站点的调用，导致我像他是这个用户一样登录他。

我在这里错过了什么吗？

这不应该用大红字写在https://developers.facebook.com/docs/authentication/的第一段吗？

如果我更改我的应用程序的“显示名称”，用户是否必须再次授予权限，还是会继续为当前用户工作？

我确实尝试了一个只有一个用户的虚拟应用程序 - 无需重新授权。但我想确保我的其他拥有更多用户的应用程序的行为也相同。

我正在为 Android 开发，目前使用 facebook-android-sdk 进行身份验证。据我所知，该代码中没有使用应用程序密码，这很棒。

现在 Facebook 将删除 offline_access 权限，我需要扩展访问令牌。不幸的是，sdk 的 extendAccessToken 方法不是独立的，需要安装官方的 Facebook 应用程序，这对我来说是不可接受的。

所以我决定直接实现extendAccessToken（类似于iphone sdk实现）。问题是扩展访问令牌的 HTTP 请求需要 client_secret 字段，这意味着我需要将应用程序密码放入代码本身。对于可以轻松进行逆向工程的 Android/Java 应用程序来说，这根本不安全。

有没有其他选择？

我在使用 facebook api 时遇到问题。

我的客户将我的 facebook 用户设置为他的 facebook 产品页面的管理员。

我使用了一个 Java 引擎，该引擎计划用于检索此页面洞察数据。由于它是一个 java angine，因此没有可以执行某些操作（例如登录）的“人类”用户。

出于这个原因，我使用了一个offline_access令牌，因此我可以检索数据，例如，以这种方式：

这工作正常，但是... ... offline_access 现在已弃用，我想更改我的代码以以正确的方式获取访问令牌。似乎没有办法以编程方式对我的用户进行身份验证并获得一个访问令牌，这使我有可能执行上述洞察数据请求。因此，似乎使用offline_access 弃用，我无法执行我的洞察请求！:)

我怎么解决这个问题？如何获得正确且有效的 access_token？请帮我！

非常感谢。

我是 facebook dev 的新手，我阅读了文档，但仍然没有接近我想要的...

通过使用带有 App Access Token 的 Graph API，我无法弄清楚如何获取我的应用程序的用户列表。

我认为这将是非常简单的事情： https ://graph.facebook.com/APP_ID/users

但它只是不起作用，

这是否不适用于应用程序访问令牌？

我的目标是知道谁允许我的应用程序有权知道他们的相册/照片的信息，并且整个过程是使用应用程序访问令牌完成的（因此我不需要让用户再次使用我的应用程序登录）

或者，我是否应该将 User_ID 存储在不同的服务器上，这样我就不需要让 Facebook 为我获取列表？<-但这对我来说听起来很愚蠢！

谢谢