如何在服务器端完全启用 Facebook OAuth 2.0?
Posted
技术标签:
【中文标题】如何在服务器端完全启用 Facebook OAuth 2.0?【英文标题】:How to enable Facebook OAuth 2.0 completely serverside? 【发布时间】:2012-01-04 09:32:08 【问题描述】:我基本上想保存给定用户的 Facebook ID,以便我可以通过 Facebook 接收更多材料。理想情况下,我想要一个既不使用 javascript 也不使用 cookie 的解决方案,仅使用服务器端,但没有示例,只有说明,所以我整理了一个我们可以讨论的解决方案。当我将用户链接到我的网站的 OAuth 对话框时,这是我认为有效的代码:
https://www.facebook.com/dialog/oauth?client_id=164355773607006&redirect_uri=http://www.kewlbusiness.com/oauth
然后我这样处理它来获取用户数据:
class OAuthHandler(webapp2.RequestHandler):
def get(self):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://www.koolbusiness.com/oauth',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = facebook.GraphAPI(access_token)
user = graph.get_object("me")
self.response.out.write(user["id"])
self.response.out.write(user["name"])
因此,有了它,我可以“使用 Facebook 登录”我的网站,而无需使用大量我们不想要的混乱 javascript 和 cookie。我想为我的网站启用“使用 Facebook 登录”。它应该在没有 cookie 和 javascript 的情况下工作,但他们试图让你做的第一件事是 Javascript 和 cookie。所以我制定了一个解决方案,它似乎在没有 cookie 和 javascript 的情况下也可以工作,只有 OAuth 2.0:你能谈谈我的“解决方案”吗?我正在寻找的实际用途是启用简单的功能,让 FB 用户在我的网站上做了什么,并允许 Facebook 帐户以标准化的方式登录。
我只是认为它必须在没有 javascript SDK 和 cookie 的情况下工作,而且似乎是这样。你能告诉我这个“解决方案”的优点和缺点是什么吗?我认为它比 Javascript + Cookie 要好得多,那么当最小的示例似乎是 100 % 服务器端时,为什么他们会欺骗我们使用 javascript 和 cookie?
谢谢
更新 看起来正确且行为正确,我还可以将 userdata 与数据存储一起使用,并将我的 FB 名称呈现到首页,无需 javascript 和 cookie,只需 python:
class FBUser(db.Model):
id = db.StringProperty(required=True)
created = db.DateTimeProperty(auto_now_add=True)
updated = db.DateTimeProperty(auto_now=True)
name = db.StringProperty(required=True)
profile_url = db.StringProperty()
access_token = db.StringProperty(required=True)
name = db.StringProperty(required=True)
picture = db.StringProperty()
email = db.StringProperty()
friends = db.StringListProperty()
dirty = db.BooleanProperty()
class I18NPage(I18NHandler):
def get(self):
if self.request.get('code'):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://www.kewlbusiness.com/',
)
logging.debug("client_id"+str(args))
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
logging.debug("reading file")
token_response = file.read()
logging.debug("read file"+str(token_response))
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = main.GraphAPI(access_token)
user = graph.get_object("me") #write the access_token to the datastore
fbuser = main.FBUser.get_by_key_name(user["id"])
logging.debug("fbuser "+str(fbuser))
if not fbuser:
fbuser = main.FBUser(key_name=str(user["id"]),
id=str(user["id"]),
name=user["name"],
profile_url=user["link"],
access_token=access_token)
fbuser.put()
elif fbuser.access_token != access_token:
fbuser.access_token = access_token
fbuser.put()
self.render_jinja(
'home_jinja',request=self.request,fbuser=user,...
拥有 facebook 用户的变量 fbuser 和 google 用户的变量 user 现在允许我将 facebook 用于我的网站,而没有错误、混乱、不必要的 javascript + cookie。
现在我可以从我的网站呈现和查看我的 facebook 名称,这很棒,它最终以它应该独立于 javascript 并且不需要 cookie 的方式工作。
为什么当服务器端 OAuth 2.0 是最干净的解决方案时,文档推荐 javascript + cookie?您是否同意这是最好的解决方案,因为它不依赖于您使用的是 javascript 还是 cookie?
更新 当我现在看到其他人无法使用服务器代码注销时,可能会出现重复的问题,他们不得不求助于 Javascript SDK,并且要求它必须并且应该在没有 javascript 的情况下工作,所以我做了一些调试并发现“清除” cookie,我不得不更改 cookie 的名称,虽然它有效,但我希望您的评论和/或测试您认为我的项目如何解决这个问题。像这样的注销链接应该可以工作,但不能。如果我注销两次它可以工作,这就是为什么这是一个奇怪的错误,因为我可以修复它但我仍然不知道是什么让注销需要第二次点击:
https://www.facebook.com/logout.php?next=http://www.myappengineproject.com&access_token=AAACVewZBArF4BACUDwnDap5OrQQ5dx0jsHEKPJkIJJ8GdXlYdni5K50xKw6s8BSIDZCpKBtVWF9maHMoJeF9ZCRRYM1zgZD
看起来我并不是唯一一个尝试完全避免使用 javascript 来使用 OAuth 2.0 服务器端的解决方案的人。人们可以做任何事情,但他们无法退出:
Facebook Oauth Logout
OAuth 2.0 with Facebook 的官方文档说:
您可以让用户退出他们的 Facebook 会话,方法是将他们定向到 以下网址:
https://www.facebook.com/logout.php?next=YOUR_URL&access_token=ACCESS_TOKEN
YOUR_URL 必须是您网站域中的 URL,如 开发者应用。
我想在服务器端做所有事情,但我发现建议的链接方式会留下 cookie,因此注销链接不起作用:
https://www.facebook.com/logout.php?next=http://host&access_token=current_user.access_token
它会重定向,但不会记录我网站的用户。这似乎是一个 Heisenbug,因为这对我来说正在改变并且没有太多文档。无论如何,我似乎能够使用操纵 cookie 的处理程序来实现该功能,从而实际上用户已注销:
class LogoutHandler(webapp2.RequestHandler):
def get(self):
self.set_cookie("fbsr_" + facebookconf.FACEBOOK_APP_ID, None, expires=time.time() - 86400)
self.redirect("/")
def set_cookie(self, name, value, expires=None):
if value is None:
value = 'deleted'
expires = datetime.timedelta(minutes=-50000)
jar = Cookie.SimpleCookie()
jar[name] = value
jar[name]['path'] = '/'
if expires:
if isinstance(expires, datetime.timedelta):
expires = datetime.datetime.now() + expires
if isinstance(expires, datetime.datetime):
expires = expires.strftime('%a, %d %b %Y %H:%M:%S')
jar[name]['expires'] = expires
self.response.headers.add_header(*jar.output().split(': ', 1))
因此,将处理程序映射到 /auth/logout 并将其设置为链接可以有效地将用户从我的网站中注销(而不是将用户从 facebook 中注销,希望是未经测试的)
我的代码的其他部分正在处理 OAuth 令牌和用于 Oauth 通信的 cookie 查找:
def get(self):
fbuser=None
profile = None
access_token = None
accessed_token = None
logout = False
if self.request.get('code'):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://self.get_host()/',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = main.GraphAPI(access_token)
user = graph.get_object("me") #write the access_token to the datastore
fbuser = main.FBUser.get_by_key_name(user["id"])
logging.debug("fbuser "+fbuser.name)
if not fbuser:
fbuser = main.FBUser(key_name=str(user["id"]),
id=str(user["id"]),
name=user["name"],
profile_url=user["link"],
access_token=access_token)
fbuser.put()
elif fbuser.access_token != access_token:
fbuser.access_token = access_token
fbuser.put()
current_user = main.get_user_from_cookie(self.request.cookies, facebookconf.FACEBOOK_APP_ID, facebookconf.FACEBOOK_APP_SECRET)
if current_user:
graph = main.GraphAPI(current_user["access_token"])
profile = graph.get_object("me")
accessed_token = current_user["access_token"]
我没有创建登录处理程序,因为登录基本上是我的根请求处理程序中的上述代码。我的用户类如下:
class FBUser(db.Model):
id = db.StringProperty(required=True)
created = db.DateTimeProperty(auto_now_add=True)
updated = db.DateTimeProperty(auto_now=True)
name = db.StringProperty(required=True)
profile_url = db.StringProperty()
access_token = db.StringProperty(required=True)
name = db.StringProperty(required=True)
picture = db.StringProperty()
email = db.StringProperty()
我一起模拟了两个基本的提供者 我将变量 current_user 用于 facebook 用户,将变量 user 用于 google 用户,将变量 fbuser 用于正在登录的用户,因此没有 cookie 匹配。
我使用的 cookie 查找代码如下,我想我理解它并且它可以满足我的需求:
def get_user_from_cookie(cookies, app_id, app_secret):
"""Parses the cookie set by the official Facebook JavaScript SDK.
cookies should be a dictionary-like object mapping cookie names to
cookie values.
If the user is logged in via Facebook, we return a dictionary with the
keys "uid" and "access_token". The former is the user's Facebook ID,
and the latter can be used to make authenticated requests to the Graph API.
If the user is not logged in, we return None.
Download the official Facebook JavaScript SDK at
http://github.com/facebook/connect-js/. Read more about Facebook
authentication at http://developers.facebook.com/docs/authentication/.
"""
logging.debug('getting user by cookie')
cookie = cookies.get("fbsr_" + app_id, "")
if not cookie:
logging.debug('no cookie found')
return None
logging.debug('cookie found')
response = parse_signed_request(cookie, app_secret)
if not response:
logging.debug('returning none')
return None
args = dict(
code = response['code'],
client_id = app_id,
client_secret = app_secret,
redirect_uri = '',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
logging.debug('returning cookie')
return dict(
uid = response["user_id"],
access_token = access_token,
)
我必须学习 cookie 来解决这个问题,希望您能发表更多评论。输出欢迎信息需要 3 个变量,一个用于 google 用户,一个用于登录 facebook 用户,以及用于答案中提到的案例的变量 fbuser:
当您尝试验证新的 用户。那不存在于您的数据库中,并且您没有他的 访问令牌。
所以我必须使用 3 个变量,也许你可以只使用 2 个变量?
% if user or current_user or fbuser %
<div id="user-ident">
<span>% trans %Welcome,% endtrans % <b> current_user.name % if not current_user and user % user.nickname() % endif %% if not current_user and not user and fbuser % fbuser.name % endif %</span>
</div>
% endif %
【问题讨论】:
【参考方案1】:找到这个。看起来也不错,它不仅适用于 Facebook。 https://code.google.com/p/gae-simpleauth/
【讨论】:
这就是我今天使用的,它也适用于foursquare。我正在考虑尝试自己成为 Oauth 提供者,这样我就可以像添加另一个提供者一样添加我的网站。制作许多不同的用户模型是不利的,但现在我们仍然可以使用 webapp2 的用户模型ndb.Expando
我想可以开发 simpleauth 以便我们可以添加提供程序,甚至无需重新部署新的应用程序版本,我的想法也是将提供者数据保存在数据存储中,以便您可以从管理网页部分添加提供者。
有趣。让我们知道情况如何。【参考方案2】:
当您尝试对新用户进行身份验证时会使用 JavaScript/Cookie。那在你的数据库中不存在,你也没有他的 accessToken。
当您拥有用户的 accessToken - 如果您愿意,您可以通过 HTTP 从任何编程语言访问 Facebook API,无需 cookie/javascript。有python客户端,例如:http://github.com/pythonforfacebook/facebook-sdk(原为https://github.com/facebook/python-sdk)
【讨论】:
感谢您的链接。这个例子很好,因为我正在寻找普通的 OAuth,而且我知道 cookie 用于会话管理。我认为除了我的注销之外一切正常,并且该示例提供了一个非常方便的 logouthandler,因为我看到其他人尝试在没有 javascript 的情况下执行此操作并发现它很复杂 logouthandler 为我工作,这是困扰我的最后一个组件(注销)。 facebook 提供的链接不会清除 cookie,因此用户保持登录状态 游戏迟到了。但是这个链接似乎被破坏了。更新的是:github.com/pythonforfacebook/facebook-sdk以上是关于如何在服务器端完全启用 Facebook OAuth 2.0?的主要内容,如果未能解决你的问题,请参考以下文章
jQuery 数据表 Twitter/facebook 样式分页
如何使用 C# 从服务器端删除 facebook cookie?