如何验证 Facebook 访问令牌？

Question

服务器只需要做一件事；只需检查任何访问令牌的有效性。

客户端向服务器发送FB.getLoginStatus获取的用户ID和访问令牌。正如我所料，会有任何 URL 检查访问令牌的有效性，例如 http://xxx.facebook.com/access_token?=xxxxxxxxxxxxxxxxxxxxxxxxxxxx。

返回它是否可用，或者是否有任何 API（服务器端）？

Answer 1

如果遇到错误，您可以简单地请求https://graph.facebook.com/me?access_token=xxxxxxxxxxxxxxxxx，令牌无效。如果你得到一个带有 id 属性的 JSON 对象，那么它是有效的。

不幸的是，这只会告诉您您的令牌是否有效，而不是它是否来自您的应用程序。

Answer 2

官方支持的方法是：

GET graph.facebook.com/debug_token?
     input_token={token-to-inspect}
     &access_token={app-token-or-admin-token}

更多信息请参见the check token docs。

一个示例响应是：

{
    "data": {
        "app_id": 138483919580948, 
        "application": "Social Cafe", 
        "expires_at": 1352419328, 
        "is_valid": true, 
        "issued_at": 1347235328, 
        "metadata": {
            "sso": "iphone-safari"
        }, 
        "scopes": [
            "email", 
            "publish_actions"
        ], 
        "user_id": 1207059
    }
}

Answer 3

将Access Token 交换为Mobile Number and Country Code（服务器端或客户端）

您可以通过access_token 和此API https://graph.accountkit.com/v1.1/me/?access_token=xxxxxxxxxxxx 获得mobile number。也许，一旦您拥有了mobile number 和id，您就可以使用它来验证 使用您的server & database 的用户。

xxxxxxxxxx 上面是Access Token

示例响应：

{
   "id": "61940819992708",
   "phone": {
      "number": "+91XX82923912",
      "country_prefix": "91",
      "national_number": "XX82923912"
   }
}

---

将Auth Code 交换为Access Token（服务器端）

如果你有一个Auth Code，你可以先用这个Access Token 得到API - https://graph.accountkit.com/v1.1/access_token?grant_type=authorization_code&code=xxxxxxxxxx&access_token=AA|yyyyyyyyyy|zzzzzzzzzz

上面的xxxxxxxxxx、yyyyyyyyyy和zzzzzzzzzz分别是Auth Code、App ID和App Secret。

示例响应

{
   "id": "619XX819992708",
   "access_token": "EMAWdcsi711meGS2qQpNk4XBTwUBIDtqYAKoZBbBZAEZCZAXyWVbqvKUyKgDZBniZBFwKVyoVGHXnquCcikBqc9ROF2qAxLRrqBYAvXknwND3dhHU0iLZCRwBNHNlyQZD",
   "token_refresh_interval_sec": XX92000
}

注意 - 这是server-side 的首选，因为API 需要APP Secret，而shared 并不意味着security reasons。

祝你好运。

Answer 4

只是想让你知道，直到今天我首先获得了一个应用访问令牌（通过对 Facebook 的 GET 请求），然后使用收到的令牌作为app-token-or-admin-token in：

GET graph.facebook.com/debug_token?
    input_token={token-to-inspect}
    &access_token={app-token-or-admin-token}

但是，我刚刚意识到了一种更好的方法（另外一个好处是需要更少的 GET 请求）：

GET graph.facebook.com/debug_token?
    input_token={token-to-inspect}
    &access_token={app_id}|{app_secret}

如 Facebook 的访问令牌文档中所述here。

Answer 5

可以从此网址找到应用令牌。

https://developers.facebook.com/tools/accesstoken

Answer 6

简单请求（HTTP GET）：

https://graph.facebook.com/USER_ID/access_token=xxxxxxxxxxxxxxxxx

就是这样。

Answer 7

我从 facebook 开发者页面找到了这个官方工具，这个页面将让您关注与访问令牌相关的信息 - 应用 ID、类型、应用范围、用户上次安装此应用的方式、已发布、过期、数据访问过期、有效、起源，范围。 只需要访问令牌。

https://developers.facebook.com/tools/debug/accesstoken/