Приложение холста Facebook «redirect_uri» вырывается из iframe после авторизации и аутентификации

Я обновляю свои существующие приложения FB и схожу с ума, пытаясь получить простое приложение PHP iframe canvas для авторизации и аутентификации (а также с использованием SSL). Никогда не просматривал столько примеров ...

Вот где я застрял: после того, как пользователь авторизует приложение, и приложение аутентифицирует пользователя (я могу сделать запрос графика с токеном OK), происходит redirect_uri, и вся страница обновляется, покидая Facebook. а затем просто показывает мне содержимое моей страницы «Canvas URL» (с доменом моего сервера), а не в Facebook.

Сейчас у меня это грубый двухэтапный процесс ...

Вот как выглядит мой код на первой странице (index.php):

<?php
require('src/facebook.php');

$app_id = '123456789';
$app_secret = '1234secrets1234';
$canvas_page = "https://apps.facebook.com/123456789/";
$canvas_url = "https://myserver.com/apptest/";

$code = $_REQUEST['code'];

if(!$code){
$display= 'page';
$scope= 'manage_pages, offline_access, read_insights, publish_stream, user_about_me, user_likes, email'; 
$redirect_url = 'https://myserver.com/apptest/step2.php';
$oauth_url    = 'https://www.facebook.com/dialog/oauth?canvas=1&client_id='.$app_id.'&display='.$display.'&redirect_uri='.urlencode($redirect_url).'&scope='.$scope;
$config = array('appId'  => $app_id,'secret' => $app_secret,'cookie' => true,'domain' => true);
$facebook_client = new Facebook($config);

echo "<script type=\"text/javascript\">top.location.href = \"".$oauth_url."\";</script>";
}
?>

и на второй странице (step2.php):

<?php
require('src/facebook.php');

$app_id = '123456789';
$app_secret = '1234secrets1234';
$canvas_page = "https://apps.facebook.com/123456789/";
$canvas_url = "https://myserver.com/apptest/";


if($_REQUEST['code']){
$code=$_REQUEST['code'];
$redirect_url = 'https://myserver.com/apptest/step2.php';
$link="https://graph.facebook.com/oauth/access_token?canvas=1&client_id=".$app_id."&redirect_uri=".urlencode($redirect_url)."&client_secret=".$app_secret."&code=".$code;
$string = file_get_contents($link);
$auth_token=substr($string, 13, 150);

$graph_url = "https://graph.facebook.com/me?access_token=".$auth_token;
$user = json_decode(file_get_contents($graph_url));
echo("Hello " . $user->name);
} 

Опять же, как только пользователь авторизовал приложение, а приложение аутентифицировало пользователя, вызов графа работает.

Есть идеи?