从用户访问令牌获取应用程序 ID（或验证源应用程序的令牌）

Question

我找到了这个question，它有一个答案，但是从那以后facebook改变了令牌格式，现在它是这样的：

AAACEdEose0cBACgUMGMCRi9qVbqO3u7mdATQzg[more funny letters]ig8b3uss9WrhGZBYjr20rnJu263BAZDZD

简而言之，你无法从中推断出任何东西。 我还找到了access token debugger，如果您在其中粘贴令牌，它会显示我正在寻找的信息，这很好，但不能帮助我以编程方式完成。

要点是，如果有人为用户获取令牌，他可以使用它来访问图表，这就是我在我的应用程序中所做的 - 我想确保人们正在转发由我的应用程序，而不是另一个。

我的申请流程是：

1. 从 facebook 获取访问令牌（没什么特别的，就像在 here 中描述的那样，服务器端流程。（也使用 iPhone 和 android，但如果我没记错的话，它们有类似的流程））
   [设备] [facebook]
2. 使用该访问令牌，设备将使用该令牌访问我的应用服务器
   [设备] [乔纳森的应用程序]
   在我的服务器上，我将访问令牌附加到用户并使用它在我的应用程序中向该用户授予权限。 （使用 facebook 连接对用户进行身份验证）
   

我的应用程序是安全的，并且无论 facebook 如何访问都经过身份验证，但是！在这个流程中，我发现的一个薄弱环节是我无法确定我获得的访问令牌是为我的应用程序签名的 - 我不喜欢它，因为我缓存令牌以供离线使用，我希望 100% 确定它们适用于我的应用程序，具有我的权限。

那么，验证我获得的令牌与我的应用程序相关的（最佳）方法是什么（对于与用户的关系，我使用令牌访问 /me 并查看此令牌用于哪个用户）

我不需要解密令牌（我猜它是某种 AES），我只是在寻找一个端点，它会告诉我令牌与我的应用程序 ID 匹配。

（编辑：使用 C# SDK，如果重要的话。但是提供该信息的图形/rest 调用也一样好 :)）

Answer 1

https://graph.facebook.com/app/?access_token=[user_access_token]

这将返回为其生成此令牌的应用，您可以将其与应用的 id 进行比较。

Answer 2

用于检查访问令牌的官方图形端点是：

GET graph.facebook.com/debug_token?
      input_token=[user_access_token]&
      access_token=[app_token_or_admin_token]

示例响应：

{
    "data": {
        "app_id": 138483919580948, 
        "application": "Social Cafe", 
        "expires_at": 1352419328, 
        "is_valid": true, 
        "issued_at": 1347235328, 
        "metadata": {
            "sso": "iphone-safari"
        }, 
        "scopes": [
            "email", 
            "publish_actions"
        ], 
        "user_id": 1207059
    }
}

app_token_or_admin_token可以通过Graph API调用获得：

GET graph.facebook.com/oauth/access_token?
     client_id={app-id}
    &client_secret={app-secret}
    &grant_type=client_credentials

如果 user_access_token 不属于生成 app_token_or_admin_token 的应用，则 debug_token 端点将失败。

Facebook 相关文档：

• 检查访问令牌： https://developers.facebook.com/docs/facebook-login/login-flow-for-web-no-jssdk/#checktoken

• 应用令牌： https://developers.facebook.com/docs/facebook-login/access-tokens/#apptokens

Answer 3

确保这一点的书面方法是使用appsecret_proof。

GET graph.facebook.com/v2.5/me?access_token=[TOKEN]&appsecret_proof=[PROOF]

这不仅验证它是一个有效的令牌，而且验证令牌属于应用程序。它还可以一次性获取您的用户数据。

你可以在 C# 中使用这个（来自here）推导出上面的PROOF：

public static string ComputeHmacSha256Hash(string valueToHash, string key)
{
    byte[] keyBytes = Encoding.ASCII.GetBytes(key); 
    byte[] valueBytes = Encoding.ASCII.GetBytes(valueToHash);
    byte[] tokenBytes = new HMACSHA256(keyBytes).ComputeHash(valueBytes);
    valueBytes = null;
    keyBytes = null; 

    StringBuilder token = new StringBuilder();
    foreach (byte b in tokenBytes)
    {
        token.AppendFormat("{0:x2}", b);
    }
    tokenBytes = null; 

    return token.ToString();
}

ComputeHmacSha256Hash(accessToken, appSecret);

Answer 4

为什么不使用官方的做事方式呢？这是 FB 自己的视频关于安全的要求。

请求： https://graph.facebook.com/debug_token?input_token={token-to-check}&access_token={app_id}|{app_secret}

回应： "data": { "app_id": {token-app-id}, "user_id": {token-user-id}, ... }

官方视频链接：https://www.facebook.com/FacebookforDevelopers/videos/10152795636318553/

我做了一个截图，以便可以看到时间，如果您有兴趣，可以找到更多信息。