Facebook startseite
Con el inicio de sesión mediante dispositivo, tu dispositivo muestra un código alfanumérico e indica a los usuarios que lo introduzcan en una página web de su ordenador de sobremesa o smartphone. A continuación, los usuarios de tu aplicación o servicio pueden conceder permisos. Una vez que tu aplicación obtiene los permisos, el dispositivo recibe un token de acceso que tu aplicación utiliza para realizar solicitudes a la Graph API con el fin de identificar a la persona y obtener información para personalizar su experiencia con el dispositivo.
Cuando el código aparece en pantalla, el dispositivo sondea la API de inicio de sesión del dispositivo para ver si alguien ha autorizado tu aplicación. Pasados unos minutos, si no han introducido su código, la API de inicio de sesión del dispositivo devuelve un error code_expired. Cuando su dispositivo recibe este error, debe cancelar el flujo de inicio de sesión y la interfaz debe mostrar la llamada a la acción.
Muestre esta confirmación en su dispositivo hasta que la persona haga clic en el botón Continuar. Es posible que alguien tenga que introducir el código en un ordenador en otra ubicación, por lo que puede necesitar tiempo para volver a su dispositivo y ver la confirmación antes de continuar.
Para un inicio de sesión basado en navegador para una aplicación web o de escritorio sin utilizar nuestros SDKs, como en una webview para una aplicación de escritorio nativa (por ejemplo Windows 8), o un flujo de inicio de sesión utilizando enteramente código del lado del servidor, puedes construir un flujo de inicio de sesión por ti mismo utilizando redireccionamientos del navegador. Esta guía le llevará a través de cada paso del flujo de inicio de sesión y le mostrará cómo implementar cada uno sin utilizar nuestros SDKs:
Las aplicaciones que utilizan nuestros SDKs pueden comprobar si alguien ya ha iniciado sesión utilizando funciones integradas. Todas las demás aplicaciones deben crear su propia forma de almacenar cuándo una persona ha iniciado sesión, y cuando ese indicador no esté ahí, proceder asumiendo que se ha cerrado la sesión. Si alguien ha cerrado la sesión, la aplicación debe redirigirle al cuadro de diálogo de inicio de sesión en el momento adecuado, por ejemplo, si hace clic en un botón de inicio de sesión.
En todos los casos, el navegador vuelve a la app, y se incluyen los datos de respuesta que indican si alguien se conectó o canceló. Cuando su aplicación utiliza el método de redirección como se indica más arriba, a la redirect_uri a la que vuelve su aplicación se le añadirán parámetros o fragmentos de URL (según el response_type elegido), que deben capturarse.
Inicio de sesión en FB
Por ejemplo, si añades el botón de inicio de sesión a una aplicación web y solicitas publish_to_groups y pages_manage_posts a través del parámetro scope, al iniciar sesión por primera vez se mostrará este cuadro de diálogo:
Tu aplicación puede solicitar permisos adicionales en cualquier momento, incluso después de que una persona inicie sesión por primera vez. Por ejemplo, el permiso user_photos permite a tu aplicación obtener las fotos publicadas de una persona. Se recomienda solicitar este permiso sólo cuando la aplicación necesite mostrar a la persona sus fotos publicadas. Cuando solicites nuevos permisos, se preguntará a la persona que utilice tu aplicación acerca de esos nuevos permisos y tendrá la posibilidad de rechazarlos. Para obtener más información, consulta Optimización de las solicitudes de permisos.
Los usuarios pueden conceder permisos a tu aplicación para las páginas, los grupos y los activos empresariales que gestionan a nivel individual. Por ejemplo, alguien que administre varias páginas puede conceder permisos a tu aplicación sólo para una página concreta o sólo para algunas de sus páginas.
Las personas eligen qué permisos conceden a través de un flujo de solicitud de permisos. Por ejemplo, si una aplicación solicita permiso para Páginas y Grupos, los usuarios reciben una solicitud para conceder esos permisos en el cuadro de diálogo de inicio de sesión. Si no conceden todos los permisos solicitados, pueden gestionar qué tipos de permisos conceden y a qué activos, como el permiso a una Página o Grupo específicos si gestionan muchos, puede acceder la aplicación con esos permisos.
Facebook Messenger
El App Secret se utiliza en algunos de los flujos de inicio de sesión para generar tokens de acceso y el Secret en sí está destinado a asegurar el uso de su App sólo a aquellos que son de confianza. El secreto se puede utilizar para crear fácilmente un token de acceso a la aplicación que puede realizar solicitudes de API en nombre de cualquier usuario de la aplicación, lo que hace que sea extremadamente importante que el secreto de la aplicación no se vea comprometido.
$appsecret_proof= hash_hmac(‘sha256′, $access_token.’|’.time(), $app_secret); Algunos sistemas operativos y lenguajes de programación devolverán una marca de tiempo que es un flotante. Asegúrate de convertirlo a un valor entero antes de calcular la prueba app_secret. Algunos lenguajes de programación crean el hash como un objeto digest. Asegúrate de expresar el hash como un objeto hexadecimal.
En algunas configuraciones, las aplicaciones reutilizarán un token de larga duración en varios clientes. No lo hagas. En su lugar, utilice tokens a corto plazo que se generan con el flujo de código, tal y como se describe en nuestra documentación sobre tokens de acceso.
Para entender cómo ocurre esto, imagine una aplicación nativa de iOS que desea realizar llamadas a la API, pero en lugar de hacerlo directamente, se comunica con un servidor propiedad de la misma aplicación y le pasa un token generado mediante el SDK de iOS. El servidor utilizaría entonces el token para hacer llamadas a la API.
