问题标签 [facebook-oauth]

保护 oauth_token 免受窥探有多重要？例如，我应该避免在 javascript 中传递它并将其仅保留在 php-land 中，还是方便地使用它是无害的？我试图弄清楚用户可以用它做什么邪恶的事情，但除了手动回复他们的请求和查找他们自己的信息之外，它似乎是相当无害的。

通过在对身份 URL 执行 HTTP GET 时请求一种称为 application/xrds+xml 的特殊 mime 类型，开发人员可以选择实现哪些替代方案。

facebook 是否有可能（而不是使用 facebook connect）

使用Facebook 登录按钮时是否可以提供取消 URL ？

我正在拼命寻找 bromo http://forum.developers.facebook.net/viewtopic.php?id=106817在论坛上提出的以下问题的答案。

我们目前使用的有什么区别

以及现在出现在文档中的内容

我在 Facebook 文档中找不到任何关于“https://www.facebook.com/dialog/oauth”仍然有效或者是否会随 Oauth2 迁移而被弃用的参考。

谢谢戴夫

我正在开发一个应用程序，允许用户使用 Facebook 登录我们的网站。我们还有一个现有的登录系统，我也想继续使用它。目标是在我们的用户数据库中保存新的 Facebook 用户，如果他们决定从现在开始通过 Facebook 登录，则合并现有用户。

我的应用程序要求电子邮件许可，我注意到用户有可能使用 xxxx@proxymail.facebook.com 地址。为了不创建重复的用户记录，我想知道这个代理邮件地址对于用户+应用程序组合是否是唯一的。

换句话说：如果用户禁止我的应用程序然后重新允许它，该用户会获得一个新的代理邮件地址，还是会在我的应用程序和用户的生命周期内保持不变？

从 Facebook 的身份验证文档和 Dev 中并不清楚。如果弃用一些旧的授权方法的路线图也将包括弃用旧的 REST API 授权方法，这是自定义的。

我的应用程序仅使用 REST API 和 FQL（通过 fql.query 方法）。我是否还必须在 10 月 1 日之前将我的应用程序转换为 OAuth 2？

可能重复：
Play Framework 附加 # =在 Facebook 身份验证后通过 OAuth2 重定向？

有没有其他人看到这种情况发生？

我正在使用 Facebook PHP SDK 和一些 Javascript 构建 Facebook 画布应用程序。
现在，当我通过 OAuth 身份验证流程引导用户时，我注意到浏览器中的 URL 会自动附加 this "#_=_"，所以我的 URL 开始看起来像这样：

当我重定向到应用配置文件页面时，URL 是这样的：

我正在使用重定向

到画布 URL，以及

用于应用配置文件页面。

那么为什么#_=_要附加这个呢？

更新：

根据跟踪器上的这个错误，这是设计使然，并且为 提供值redirect_uri不会改变这一点。

根据该页面上的官方facebook回复（必须登录Facebook才能查看帖子）：

这已被标记为“设计使然”，因为它可以防止潜在的安全漏洞。

某些浏览器会将 URL 中的哈希片段附加到它们已重定向到的新 URL 的末尾（如果该新 URL 本身没有哈希片段）。

例如，如果 example1.com 返回到 example2.com 的重定向，则转到 example1.com#abc 的浏览器将转到 example2.com#abc，并且 example2 上的脚本可以访问来自 example1.com 的哈希片段内容.com。

由于可以将一个身份验证流重定向到另一个，因此可以使来自一个应用程序的敏感身份验证数据可供另一个应用程序访问。

通过将新的哈希片段附加到重定向 URL 以防止这种浏览器行为，可以缓解这种情况。

如果结果 URL 的美学或客户端行为受到关注，则可以使用 window.location.hash（甚至您自己的服务器端重定向）来删除有问题的字符。

如果用户先前已批准对应用程序的访问并提供了所有权限，则 facebook OAuth 对话框会在不提示的情况下重定向回提供的 redirect_uri ...

我想覆盖该行为并强制对话框再次向用户询问权限...

想知道这是否可以做到，因为文档没有提供关于这是否可行的帮助。

我有一个难题。困难意味着我搜索了网络和 StackOverflow 以及整个 FBJS SDK 文档，但没有找到答案。

我正在构建一个页面选项卡应用程序，我想让粉丝参与 rsvp 活动。所以我必须检查用户是否登录，如果没有，我必须登录。这听起来很简单，但 FB.getLoginStatus 不会触发回调函数。这是代码摘录：

然后我只是简单地——当然是在用户点击一个按钮之后——调用 FB.getLoginStatus，但它似乎没有做任何事情。

我已经检查了沙盒模式、FB.init 成功、应用程序设置和开发环境中的 URL。我可以调用 FB.ui，尽管使用方法：'oauth' 的 FB.ui 我收到一条错误消息，指出““redirect_uri”参数不能与“next”参数一起使用，已弃用。”。这很奇怪，因为我没有使用“下一个”参数。但是当我在未定义旁边设置时，它工作正常，我得到窗口，但它显示“应用程序配置不允许给定 URL。”。期待，我可以登录，然后我得到了 access_token。但是在新窗口中，getLoginStatus 仍然没有做任何事情。

所以欢迎任何建议。

谢谢， 塔马斯

更新：

}

更新 2：我在一个不同的 URL 上创建了一个新的应用程序，它被配置为一个独立的网站。这些代码可以完美运行，我可以获取LoginStatus，我可以登录等。在 FB 的上下文中和在独立网站中使用 FB JavaScript SDK 有什么区别吗？

我正在使用 FB.ui 使用简单的应用程序 Facebook 选项卡进行授权：

授权很好，但即使用户确认应用程序，相关的 fbsr_xxxxx cookie 也没有设置。有什么办法可以强制吗？响应对象包含 user_id，但我宁愿将标准流程与 signed_request 一起使用。