Obtenir l'identifiant de l'application à partir du jeton d'accès utilisateur (ou vérifier l'application source pour un jeton)

Question

J'ai trouvé cette question, qui a une réponse, mais facebook a changé le jeton format depuis, maintenant, c'est quelque chose comme:

AAACEdEose0cBACgUMGMCRi9qVbqO3u7mdATQzg[more funny letters]ig8b3uss9WrhGZBYjr20rnJu263BAZDZD

En bref, vous ne pouvez pas déduire quoi que ce soit d'elle. J'ai aussi trouvé le jeton d'accès débogueur, ce qui montre l'information que je cherche si vous collez un jeton, ce qui est agréable, mais ne m'aide pas à le faire par programmation.

Le Point est, si quelqu'un reçoit un jeton pour un utilisateur, il peut l'utiliser pour accéder au graphique, qui est ce que je fais dans ma demande: je veux être sûr que les gens sont à transmettre le jeton qui a été délivré par mon application, et pas un autre.

Mon application est:

1. Obtenir un jeton d'accès de facebook (rien de spécial, dans la manière dont elle est décrite ici , côté Serveur de Flux. (iPhone et android et utilisés, mais ils ont des flux similaires si je me souviens bien))
   [dispositif] <-> [facebook]
2. Avec ce jeton d'accès, le dispositif permettra d'accéder à mon serveur d'application, avec le jeton
   [dispositif] <-> [Jonathan demande]
   À mon serveur, j'attache le jeton d'accès de l'utilisateur et de l'utiliser pour donner des autorisations à l'utilisateur de mon application. (en utilisant le facebook de se connecter à l'authentification des utilisateurs)
   

Mon application est sécurisé, et l'accès est également authentifié indépendamment de facebook, MAIS! dans ce flux, le faible lien que j'ai identifié est que je ne peut pas authentifier pour assurer que le jeton d'accès j'ai signé pour mon application je n'aime pas ça parce que je cache les jetons pour une utilisation hors ligne, je veux être sûr à 100% qu'ils sont pour mon application, avec mes autorisations.

Quel sera donc le (meilleur) moyen d'authentifier que le jeton que j'ai est lié à mon application (par rapport à l'usage, j'utilise le jeton d'accès /moi et de voir où l'utilisateur ce jeton est pour)

Je n'ai pas besoin de déchiffrer le jeton (je suppose que c'est une sorte de AES), je suis juste à la recherche d'un point de terminaison qui va me dire le jeton correspondait à mes id de l'application.

(EDIT: en Utilisant le SDK de C#, si ça.. Mais un graphique/appel reste pour donner cette info est tout aussi bien aussi :) )

Answer 1

https://graph.facebook.com/app/?access_token=[user_access_token]

Answer 2

Le fonctionnaire graphique de point de terminaison pour l'inspection des jetons d'accès est:

GET graph.facebook.com/debug_token?
      input_token=[user_access_token]&
      access_token=[app_token_or_admin_token]

Exemple de réponse:

{
    "data": {
        "app_id": 138483919580948, 
        "application": "Social Cafe", 
        "expires_at": 1352419328, 
        "is_valid": true, 
        "issued_at": 1347235328, 
        "metadata": {
            "sso": "iphone-safari"
        }, 
        "scopes": [
            "email", 
            "publish_actions"
        ], 
        "user_id": 1207059
    }
}

app_token_or_admin_token peut être obtenue à l'aide de l'API Graphique composez le:

GET /oauth/access_token?
     client_id={app-id}
    &client_secret={app-secret}
    &grant_type=client_credentials

Pertinentes facebook de la documentation:

• L'inspection des jetons d'accès: https://developers.facebook.com/docs/facebook-login/login-flow-for-web-no-jssdk/#checktoken

• Application Des Jetons: https://developers.facebook.com/docs/facebook-login/access-tokens/#apptokens