Я работаю по этой ссылке и пытаюсь реализовать протокол OAuth, чтобы пользователи могли входить на мой сайт через Facebook. Однако документация Facebook довольно ужасна и неясна в нескольких ключевых частях.
В ней говорится, что авторизация проходит в три этапа:
Аутентификация пользователя (перенаправление пользователя на https://facebook.com/dialog/ oauth? client_id = ... & redirect_uri = ...
, и ожидайте, что страница redirect_uri
будет отозвана с кодом
). Отлично работает!
Авторизация приложений (выполняется Facebook и т. Д.). Отлично работает!
Аутентификация приложения (на странице обратного вызова возьмите полученный код
и позвоните по адресу https://graph.facebook.com/oauth/access_token?client_id=...&redirect_uri = ... & client_secret = ... & code = ...
. Тело ответа будет включать access_token
, нам нужно что-то делать)
Я понимаю, что с access_token
, я могу вызывать API и тому подобное. Но что произойдет, когда он истечет? Я мог бы получить новый, но к этому моменту будет много HTTP-запросов позже, и у меня больше нет кода
, который я использовал для его получения. Должен ли я хранить код
вместе с access_token
? Или мне нужно сказать пользователю, что нужно снова войти в систему, чтобы я получил новый код
, чтобы получить новый access_token
?
Или мне здесь не хватает ключевой части? Мне не нужен токен offline_access
, поскольку я буду опрашивать данные только в ответ на действия пользователя.