一般應用程式都需要使用者做過認證,才能允許存取使用者自有資料或系統中較重要的功能。透過Facebook做身分認證已經是一種趨勢,像Stackoverflow也提供Facebook帳戶登入的功能:
不管是Stackoverflow還是其它應用程式,除了要取得臉書上個人資料以識別使用者外,也有可能會分享訊息到臉書上。舉例來說,我常常會使用Garmin Connect的分享功能,將我騎自行車的紀錄發佈到臉書上;有些人則會將噗浪或是Blogger的內容,分享到臉書上。這些動作都是透過Graph API達成,而要做這些動作的先決條件就必須透過認證。有幾個人會開著門讓不認識的進來開冰箱吃餅乾吧?
Facebook提供認證的方式,就是根據OAuth 2.0去實做的。首先來看看OAuth 2.0的Spec中的認證流程示意圖:
+--------+ +---------------+ | |--(A)- Authorization Request ->| Resource | | | | Owner | | |<-(B)-- Authorization Grant ---| | | | +---------------+ | | | | +---------------+ | |--(C)-- Authorization Grant -->| Authorization | | Client | | Server | | |<-(D)----- Access Token -------| | | | +---------------+ | | | | +---------------+ | |--(E)----- Access Token ------>| Resource | | | | Server | | |<-(F)--- Protected Resource ---| | +--------+ +---------------+軟體設計有個很重要的概念就是Abstract,這樣才會有足夠的擴充性,而OAuth2.0中的各個Element都代表著抽象的概念。
當OAuth2.0在Facebook上是怎樣呢? 讓我們看看示意圖:
在臉書上,Client可能是iOS、Android上的應用程式或Web應用程式;Resource Owner就是一個End User,即APP的使用者;而Authorization與Resource Server,就是控管整個資源存取與實作OAuth認證機制的Facebook。
一個App可能是透過Browser或Mobile的方式讓User使用。當App存取到User在Faceook上的資料時,如取得朋友名單或是發佈訊息到塗鴉牆,必須先讓User授權,以取得Access Token去操作Graph API的。主要的過程如下:
整個過程要表達的就是: 想盡辦法弄到Access Token。
讀完這篇文章,應該了解到臉書的認證機制。也知道要使用Graph API去存取基本資料外的東西,就必須透過Access Token。另外還有幾點需要注意:
{ "error": { "message": "Error validating access token: Session has expired at unix time SOME_TIME. The current unix time is SOME_TIME.", "type": "OAuthException", "code": 190 } }
友藏內心獨白: 賺到一個颱風天。