【发布时间】:2012-01-04 09:32:08
【问题描述】:
我基本上想保存给定用户的 Facebook ID,以便我可以通过 Facebook 接收更多材料。理想情况下,我想要一个既不使用 javascript 也不使用 cookie 的解决方案,仅使用服务器端,但没有示例,只有说明,所以我整理了一个我们可以讨论的解决方案。当我将用户链接到我的网站的 OAuth 对话框时,这是我认为有效的代码:
https://www.facebook.com/dialog/oauth?client_id=164355773607006&redirect_uri=http://www.kewlbusiness.com/oauth
然后我这样处理它来获取用户数据:
class OAuthHandler(webapp2.RequestHandler):
def get(self):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://www.koolbusiness.com/oauth',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = facebook.GraphAPI(access_token)
user = graph.get_object("me")
self.response.out.write(user["id"])
self.response.out.write(user["name"])
因此,有了它,我可以“使用 Facebook 登录”我的网站,而无需使用大量我们不想要的混乱 javascript 和 cookie。我想为我的网站启用“使用 Facebook 登录”。它应该在没有 cookie 和 javascript 的情况下工作,但他们试图让你做的第一件事是 Javascript 和 cookie。所以我制定了一个解决方案,它似乎在没有 cookie 和 javascript 的情况下也可以工作,只有 OAuth 2.0:你能谈谈我的“解决方案”吗?我正在寻找的实际用途是启用简单的功能,让 FB 用户在我的网站上做了什么,并允许 Facebook 帐户以标准化的方式登录。
我只是认为它必须在没有 javascript SDK 和 cookie 的情况下工作,而且似乎是这样。你能告诉我这个“解决方案”的优点和缺点是什么吗?我认为它比 Javascript + Cookie 要好得多,那么当最小的示例似乎是 100 % 服务器端时,为什么他们会欺骗我们使用 javascript 和 cookie?
谢谢
更新 看起来正确且行为正确,我还可以将 userdata 与数据存储一起使用,并将我的 FB 名称呈现到首页,无需 javascript 和 cookie,只需 python:
class FBUser(db.Model):
id = db.StringProperty(required=True)
created = db.DateTimeProperty(auto_now_add=True)
updated = db.DateTimeProperty(auto_now=True)
name = db.StringProperty(required=True)
profile_url = db.StringProperty()
access_token = db.StringProperty(required=True)
name = db.StringProperty(required=True)
picture = db.StringProperty()
email = db.StringProperty()
friends = db.StringListProperty()
dirty = db.BooleanProperty()
class I18NPage(I18NHandler):
def get(self):
if self.request.get('code'):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://www.kewlbusiness.com/',
)
logging.debug("client_id"+str(args))
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
logging.debug("reading file")
token_response = file.read()
logging.debug("read file"+str(token_response))
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = main.GraphAPI(access_token)
user = graph.get_object("me") #write the access_token to the datastore
fbuser = main.FBUser.get_by_key_name(user["id"])
logging.debug("fbuser "+str(fbuser))
if not fbuser:
fbuser = main.FBUser(key_name=str(user["id"]),
id=str(user["id"]),
name=user["name"],
profile_url=user["link"],
access_token=access_token)
fbuser.put()
elif fbuser.access_token != access_token:
fbuser.access_token = access_token
fbuser.put()
self.render_jinja(
'home_jinja',request=self.request,fbuser=user,...
拥有 facebook 用户的变量 fbuser 和 google 用户的变量 user 现在允许我将 facebook 用于我的网站,而没有错误、混乱、不必要的 javascript + cookie。
现在我可以从我的网站呈现和查看我的 facebook 名称,这很棒,它最终以它应该独立于 javascript 并且不需要 cookie 的方式工作。
为什么当服务器端 OAuth 2.0 是最干净的解决方案时,文档推荐 javascript + cookie?您是否同意这是最好的解决方案,因为它不依赖于您使用的是 javascript 还是 cookie?
更新 当我现在看到其他人无法使用服务器代码注销时,可能会出现重复的问题,他们不得不求助于 Javascript SDK,并且要求它必须并且应该在没有 javascript 的情况下工作,所以我做了一些调试并发现“清除” cookie,我不得不更改 cookie 的名称,虽然它有效,但我希望您的评论和/或测试您认为我的项目如何解决这个问题。像这样的注销链接应该可以工作,但不能。如果我注销两次它可以工作,这就是为什么这是一个奇怪的错误,因为我可以修复它但我仍然不知道是什么让注销需要第二次点击:
https://www.facebook.com/logout.php?next=http://www.myappengineproject.com&access_token=AAACVewZBArF4BACUDwnDap5OrQQ5dx0jsHEKPJkIJJ8GdXlYdni5K50xKw6s8BSIDZCpKBtVWF9maHMoJeF9ZCRRYM1zgZD
看起来我并不是唯一一个尝试完全避免使用 javascript 来使用 OAuth 2.0 服务器端的解决方案的人。人们可以做任何事情,但他们无法退出:
OAuth 2.0 with Facebook 的官方文档说:
您可以让用户退出他们的 Facebook 会话,方法是将他们定向到 以下网址:
https://www.facebook.com/logout.php?next=YOUR_URL&access_token=ACCESS_TOKEN
YOUR_URL 必须是您网站域中的 URL,如 开发者应用。
我想在服务器端做所有事情,但我发现建议的链接方式会留下 cookie,因此注销链接不起作用:
https://www.facebook.com/logout.php?next=http://{{host}}&access_token={{current_user.access_token}}
它会重定向,但不会记录我网站的用户。这似乎是一个 Heisenbug,因为这对我来说正在改变并且没有太多文档。无论如何,我似乎能够使用操纵 cookie 的处理程序来实现该功能,从而实际上用户已注销:
class LogoutHandler(webapp2.RequestHandler):
def get(self):
self.set_cookie("fbsr_" + facebookconf.FACEBOOK_APP_ID, None, expires=time.time() - 86400)
self.redirect("/")
def set_cookie(self, name, value, expires=None):
if value is None:
value = 'deleted'
expires = datetime.timedelta(minutes=-50000)
jar = Cookie.SimpleCookie()
jar[name] = value
jar[name]['path'] = '/'
if expires:
if isinstance(expires, datetime.timedelta):
expires = datetime.datetime.now() + expires
if isinstance(expires, datetime.datetime):
expires = expires.strftime('%a, %d %b %Y %H:%M:%S')
jar[name]['expires'] = expires
self.response.headers.add_header(*jar.output().split(': ', 1))
因此,将处理程序映射到 /auth/logout 并将其设置为链接可以有效地将用户从我的网站中注销(而不是将用户从 facebook 中注销,希望是未经测试的)
我的代码的其他部分正在处理 OAuth 令牌和用于 Oauth 通信的 cookie 查找:
def get(self):
fbuser=None
profile = None
access_token = None
accessed_token = None
logout = False
if self.request.get('code'):
args = dict(
code = self.request.get('code'),
client_id = facebookconf.FACEBOOK_APP_ID,
client_secret = facebookconf.FACEBOOK_APP_SECRET,
redirect_uri = 'http://self.get_host()/',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
graph = main.GraphAPI(access_token)
user = graph.get_object("me") #write the access_token to the datastore
fbuser = main.FBUser.get_by_key_name(user["id"])
logging.debug("fbuser "+fbuser.name)
if not fbuser:
fbuser = main.FBUser(key_name=str(user["id"]),
id=str(user["id"]),
name=user["name"],
profile_url=user["link"],
access_token=access_token)
fbuser.put()
elif fbuser.access_token != access_token:
fbuser.access_token = access_token
fbuser.put()
current_user = main.get_user_from_cookie(self.request.cookies, facebookconf.FACEBOOK_APP_ID, facebookconf.FACEBOOK_APP_SECRET)
if current_user:
graph = main.GraphAPI(current_user["access_token"])
profile = graph.get_object("me")
accessed_token = current_user["access_token"]
我没有创建登录处理程序,因为登录基本上是我的根请求处理程序中的上述代码。我的用户类如下:
class FBUser(db.Model):
id = db.StringProperty(required=True)
created = db.DateTimeProperty(auto_now_add=True)
updated = db.DateTimeProperty(auto_now=True)
name = db.StringProperty(required=True)
profile_url = db.StringProperty()
access_token = db.StringProperty(required=True)
name = db.StringProperty(required=True)
picture = db.StringProperty()
email = db.StringProperty()
我一起模拟了两个基本的提供者 我将变量 current_user 用于 facebook 用户,将变量 user 用于 google 用户,将变量 fbuser 用于正在登录的用户,因此没有 cookie 匹配。
我使用的 cookie 查找代码如下,我想我理解它并且它可以满足我的需求:
def get_user_from_cookie(cookies, app_id, app_secret):
"""Parses the cookie set by the official Facebook JavaScript SDK.
cookies should be a dictionary-like object mapping cookie names to
cookie values.
If the user is logged in via Facebook, we return a dictionary with the
keys "uid" and "access_token". The former is the user's Facebook ID,
and the latter can be used to make authenticated requests to the Graph API.
If the user is not logged in, we return None.
Download the official Facebook JavaScript SDK at
http://github.com/facebook/connect-js/. Read more about Facebook
authentication at http://developers.facebook.com/docs/authentication/.
"""
logging.debug('getting user by cookie')
cookie = cookies.get("fbsr_" + app_id, "")
if not cookie:
logging.debug('no cookie found')
return None
logging.debug('cookie found')
response = parse_signed_request(cookie, app_secret)
if not response:
logging.debug('returning none')
return None
args = dict(
code = response['code'],
client_id = app_id,
client_secret = app_secret,
redirect_uri = '',
)
file = urllib.urlopen("https://graph.facebook.com/oauth/access_token?" + urllib.urlencode(args))
try:
token_response = file.read()
finally:
file.close()
access_token = cgi.parse_qs(token_response)["access_token"][-1]
logging.debug('returning cookie')
return dict(
uid = response["user_id"],
access_token = access_token,
)
我必须学习 cookie 来解决这个问题,希望您能发表更多评论。输出欢迎信息需要 3 个变量,一个用于 google 用户,一个用于登录 facebook 用户,以及用于答案中提到的案例的变量 fbuser:
当您尝试验证新的 用户。那不存在于您的数据库中,并且您没有他的 访问令牌。
所以我必须使用 3 个变量,也许你可以只使用 2 个变量?
{% if user or current_user or fbuser %}
<div id="user-ident">
<span>{% trans %}Welcome,{% endtrans %} <b>{{ current_user.name }}{% if not current_user and user %}{{ user.nickname() }}{% endif %}{% if not current_user and not user and fbuser %}{{ fbuser.name }}{% endif %}</span>
</div>
{% endif %}
【问题讨论】:
标签: python google-app-engine facebook-graph-api facebook facebook-oauth