Facebook OAuth : paramètres de callback_uri personnalisés

Question

J'aimerais avoir une URL de redirection dynamique pour mon intégration Facebook OAuth2. Par exemple, si mon URL de redirection est la suivante dans mon application Facebook :

http://www.mysite.com/oauth\_callback?foo=bar

J'aimerais que l'URL de redirection pour une demande spécifique soit quelque chose comme ceci, de sorte que sur le serveur, j'ai un certain contexte sur la façon de traiter le code d'authentification :

http://www.mysite.com/oauth\_callback?foo=bar&user=6234

Ma redirection est invoquée après l'envoi de la boîte de dialogue d'autorisation et je reçois un code d'autorisation, mais lorsque j'essaie d'obtenir mon jeton d'accès, je reçois une erreur OAuthException de la part de Facebook. Ma requête ressemble à ceci (les retours à la ligne ont été ajoutés pour plus de clarté) :

https://graph.facebook.com/oauth/access\_token
    ?client\_id=MY\_CLIENT\_ID
    &redirect\_uri=http%3A%2F%2Fwww.mysite.com%2Foauth\_callback%3Ffoo%3Dbar%26user%3D6234
    &client\_secret=MY\_SECRET
    &code=RECEIVED\_CODE

Tous mes paramètres sont codés en URL, et le code semble valide, donc ma seule hypothèse est que le paramètre problématique est mon redirect_uri. J'ai essayé de définir redirect_uri à tout ce qui suit, en vain :

1. L'URL réelle de la requête vers mon site
2. L'URL de la requête vers mon site, moins le nom de l'utilisateur. code paramètre
3. L'URL spécifiée dans la configuration de mon application Facebook

Les paramètres URI de redirection personnalisés sont-ils pris en charge ? Si oui, est-ce que je les spécifie correctement ? Si ce n'est pas le cas, serai-je obligé de définir un cookie, ou existe-t-il un meilleur modèle pour fournir un contexte à mon site Web ?

Answer 1

J'ai trouvé la réponse : plutôt que d'ajouter des paramètres supplémentaires à l'URL de redirection, vous pouvez ajouter une balise de type state à la demande de https://www.facebook.com/dialog/oauth :

https://www.facebook.com/dialog/oauth
    ?client\_id=MY\_CLIENT\_ID
    &scope=MY\_SCOPE
    &redirect\_uri=http%3A%2F%2Fwww.mysite.com%2Foauth\_callback%3Ffoo%3Dbar
    &state=6234

Ce paramètre d'état est ensuite transmis à l'URL de rappel.

Answer 2

Si, pour une raison quelconque, vous ne pouvez pas utiliser l'option suggérée par Jacob, comme c'est mon cas, vous pouvez urlencode votre redirect_uri avant de le passer et cela fonctionnera, même avec une chaîne de requête complète comme foo=bar&morefoo=morebar en elle.

Answer 3

J'ai essayé d'implémenter un flux de travail de connexion Facebook avec l'API v2.9 suivant ce tutoriel . J'ai essayé les solutions décrites ci-dessus. La réponse de Manuel est en quelque sorte correcte, mais ce que j'ai observé est que l'encodage url n'est pas nécessaire. De plus, vous ne pouvez passer qu'un seul paramètre. Seul le premier paramètre de la requête sera pris en compte, le reste sera ignoré. Voici un exemple,

1. Demandez un code via https://www.facebook.com/v2.9/dialog/oauth?client_id={app-id}&redirect_uri=http://{url}/login-redirect?myExtraParameter={some-value}

2. Vous obtiendrez un rappel pour votre url. Cela ressemblera à http://{url}/login-redirect?code={code-from-facebook}&myExtraParameter={value-passed-in-step-1} . Notez que facebook ferait un callback avec myExtraParameter . Vous pouvez extraire la valeur de myExtraParameter de l'url de rappel.

3. Ensuite, vous pouvez demander un jeton d'accès avec https://graph.facebook.com/v2.9/oauth/access_token?client_id={app-id}&client_secret={app-secret}&code={code-from-facebook}&redirect_uri=http://{url}/login-redirect?myExtraParameter={value-extracted-in-step-2}

Les paramètres supplémentaires passés à l'étape 1 après le premier paramètre de la requête seront ignorés. Veillez également à ne pas inclure de caractères non valides dans votre paramètre de requête (cf. ce pour plus d'informations).

Answer 4

Il est préférable de spécifier un callback unique pour chaque fournisseur oAuth, /oauth/facebook , /oauth/twitter etc.

Si vous voulez vraiment que le même fichier réponde à toutes les requêtes oAuth, incluez-le dans les fichiers individuels ou définissez un chemin d'accès qui appellera le même fichier sur votre serveur en utilisant des redirections .htaccess ou quelque chose de similaire : /oauth/* > oauth_callback.ext

Answer 5

Vous devez définir votre state en utilisant l'assistant de connexion comme tel :

use Facebook\Facebook;
use Illuminate\Support\Str;

$fb = new Facebook([
    'app_id' => env('FB_APP_ID'),
    'app_secret' => env('FB_APP_SECRET'),
    'default_graph_version' => env('FB_APP_VER'),
]);

$helper = $fb->getRedirectLoginHelper();

$permissions = [
    'public_profile',
    'user_link',
    'email',
    'read_insights',
    'pages_show_list',
    'instagram_basic',
    'instagram_manage_insights',
    'manage_pages'
];

$random = Str::random(20);

$OAuth2Client = $fb->getOAuth2Client();

$redirectLoginHelper = $fb->getRedirectLoginHelper();

$persistentDataHandler = $redirectLoginHelper->getPersistentDataHandler();

$persistentDataHandler->set('state', $random);

$loginUrl = $OAuth2Client->getAuthorizationUrl(
        url('/') . '/auth/facebook',
        $random,
        $permissions
    );