Получить идентификатор приложения из токена доступа пользователя (или проверить исходное приложение для токена)
Я нашел этот question, у которого есть ответ, но facebook изменил формат токена с тех пор, теперь это что-то вроде:
AAACEdEose0cBACgUMGMCRi9qVbqO3u7mdATQzg[more funny letters]ig8b3uss9WrhGZBYjr20rnJu263BAZDZD
Короче говоря, вы ничего не можете сделать из этого. Я также нашел отладчик доступа к токенам, который показывает информацию, которую я ищу, если вы вставляете токен, что приятно, но не помогает мне делать это программно.
Точка, если кто-то получает токен для пользователя, он может использовать его для доступа к графику, что я и делаю в своем приложении - я хочу быть уверенным, что люди пересылают токен, который был им предоставлен мое приложение, а не другое.
Мой поток приложений:
- Получить токен доступа из facebook (ничего особенного, так, как описано в здесь, серверный поток. (также iPhone и android и используются, но они имеют похожие потоки, если я правильно помню))
[устройство] ↔ [facebook] - С помощью этого токена доступа устройство получит доступ к моему серверу приложений с токеном
[device] ↔ [Приложение Джонатана]
На моем сервере я прикрепляю токен доступа к пользователю и использую его для предоставления разрешений этому пользователю в моем приложении. (с помощью подключения facebook для аутентификации пользователей)
Мое приложение защищено, и доступ к нему также аутентифицирован независимо от facebook, НО! в этом потоке слабая ссылка, которую я идентифицировал, заключается в том, что я не могу аутентифицироваться, чтобы убедиться, что токен доступа, который я получил, был подписан для моего приложения - мне это не нравится, потому что я кэширую токены для автономного использования, я хочу быть на 100% уверенным они для моего приложения, с моими разрешениями.
Итак, каков будет (лучший) способ аутентификации того, что полученный токен связан с моим приложением (для связи с пользователем я использую токен для доступа/я и вижу, для какого пользователя этот токен)
Мне не нужно расшифровывать токен (я думаю, его какой-то AES), я просто ищу конечную точку, которая сообщит мне, что токен соответствует идентификатору моего приложения.
(EDIT: использование С# SDK, если это имеет значение. Но вызов графика/отдыха, чтобы дать эту информацию так же хорошо:))
https://graph.facebook.com/app/?access_token=[user_access_token]
Это вернет приложение, для которого был создан этот токен, вы можете сравнить его с вашим идентификатором приложения.
Официальная конечная точка графика для проверки токенов доступа:
GET graph.facebook.com/debug_token?
input_token=[user_access_token]&
access_token=[app_token_or_admin_token]
Пример ответа:
{
"data": {
"app_id": 138483919580948,
"application": "Social Cafe",
"expires_at": 1352419328,
"is_valid": true,
"issued_at": 1347235328,
"metadata": {
"sso": "iphone-safari"
},
"scopes": [
"email",
"publish_actions"
],
"user_id": 1207059
}
}
app_token_or_admin_token может быть получен с помощью вызова API Графа:
GET graph.facebook.com/oauth/access_token?
client_id={app-id}
&client_secret={app-secret}
&grant_type=client_credentials
Конечная точка debug_token завершится с ошибкой, если этот user_access_token не принадлежит к приложению, которое сгенерировало app_token_or_admin_token.
Соответствующая документация на facebook:
-
Проверка токенов доступа: https://developers.facebook.com/docs/facebook-login/login-flow-for-web-no-jssdk/#checktoken
-
Токены приложений: https://developers.facebook.com/docs/facebook-login/access-tokens/#apptokens
Документированный способ гарантировать, что это использовать appsecret_proof.
GET graph.facebook.com/v2.5/me?access_token=[TOKEN]&appsecret_proof=[PROOF]
Это проверяет не только то, что это действительный токен, но также и то, что токен принадлежит приложению. Он также получает ваши пользовательские данные за один раз.
Вы можете получить PROOF выше в С#, используя это (из здесь):
public static string ComputeHmacSha256Hash(string valueToHash, string key)
{
byte[] keyBytes = Encoding.ASCII.GetBytes(key);
byte[] valueBytes = Encoding.ASCII.GetBytes(valueToHash);
byte[] tokenBytes = new HMACSHA256(keyBytes).ComputeHash(valueBytes);
valueBytes = null;
keyBytes = null;
StringBuilder token = new StringBuilder();
foreach (byte b in tokenBytes)
{
token.AppendFormat("{0:x2}", b);
}
tokenBytes = null;
return token.ToString();
}
ComputeHmacSha256Hash(accessToken, appSecret);
Почему бы не использовать официальный способ делать что-то? Вот запрос из собственного видео FB о безопасности.
Запрос:
https://graph.facebook.com/debug_token?input_token={token-to-check}&access_token={app_id}|{app_secret}
Ответ:
"data": { "app_id": {token-app-id}, "user_id": {token-user-id}, ... }
Ссылка на официальное видео: https://www.facebook.com/FacebookforDevelopers/videos/10152795636318553/
Я сделал снимок экрана, чтобы время было видно, и вы можете найти больше информации, если вам интересно.
Посмотрите другие вопросы по меткам facebook facebook-oauth oauth-2.0 facebook-c#-sdk или Задайте вопрос