use*_*270 4 php facebook facebook-graph-api facebook-php-sdk
我最近升级到最新版本的 facebook SDK,但在登录用户时遇到问题。我生成的登录链接很好,但是当 facebook 将用户发送回我的网站时,我收到此错误:
fb sdk 错误:跨站请求伪造验证失败。持久数据中缺少必需的参数“状态”。
我试图做一些故障排除。我打印了会话数据中的所有内容以及 GET 请求中的所有内容。我看到 GET 有一个 state 参数,会话数据有一个 FBRLH_state 参数。它们都具有相同的值。那么它是如何告诉我参数丢失的呢?
我已经尝试了一些我在其他问题上看到的建议(即开始会话),但似乎没有任何效果。
任何帮助将不胜感激!我正在使用 php-graph-sdk-5.5。我的facebook连接文件在下面
if(!class_exists('facebook')){
class facebook{
private $db = null;
private $fb = null;
private $token = null;
private $DEV = null;
private $sdk_error = null;
private $api_error = null;
private $verbose = false;
private $graph_user = null;
private $db_helper = null;
private $errors = null;
public function __construct($db,
$fb_id = FB_APP_ID,
$fb_secret = FB_APP_SECRET,
$fb_version = FB_DEFAULT_GRAPH_VERSION){
if($this->verbose) echo '<pre>';
if($this->verbose) echo 'starting construction'.PHP_EOL;
$this->db = $db;
if(!$this->fb){
$this->log[] = 'no connect found. building..'.PHP_EOL;
$this->fb = new Facebook\Facebook(array(
'app_id' => $fb_id,
'app_secret' => $fb_secret,
'default_graph_version' => $fb_version));
if(!$this->fb){
die('facebook initialization failure');
}
$this->log[] = 'finished building new connection'.PHP_EOL;
}
}
public function get_login_url($callback_uri, $permissions = ['email','user_birthday']){
global $_DEV,$_config;
$helper = $this->fb->getRedirectLoginHelper();
$callback_host = ($_DEV ? $_config['dev_domain'] : $_config['live_domain']);
$callback_url = 'https://'.$callback_host.$callback_uri;
return $helper->getLoginUrl($callback_url, $permissions);
}
public function catch_token(){
if($this->token){
$this->log[] = 'already have token.'.PHP_EOL;
return $this->token;
} else if(!$this->fb){
$this->log[] = $this->error[] = 'no facebook connection in catch token()';
}
$this->log[] = 'starting catch token routine.'.PHP_EOL;
//$_SESSION['state']=$_GET['state'];
echo '<pre>' . var_export($_SESSION, true) . '</pre>';
echo '<BR><BR><pre>' . var_export($_GET, true) . '</pre>';
$helper = $this->fb->getRedirectLoginHelper();
$this->token = $helper->getAccessToken();
$this->log[] = 'caught token: '.$this->token;
$string_token = $this->token.PHP_EOL;
//die($string_token);
try {
$helper = $this->fb->getRedirectLoginHelper();
$this->token = $helper->getAccessToken();
$this->log[] = 'caught token: '.$this->token;
$string_token = $this->token.PHP_EOL;
return $this->user_flush();
} catch(Facebook\Exceptions\FacebookResponseException $e) {
// When Graph returns an error
$this->log[] = $this->errors[] = 'fb api error: ' . $e->getMessage();
return null;
} catch(Facebook\Exceptions\FacebookSDKException $e) {
// When validation fails or other local issues
$this->log[] = $this->errors[] = 'fb sdk error: ' . $e->getMessage();
return null;
} catch(Exception $e){
$this->log[] = $this->errors[] = 'unknown error: '.$e->getMessage();
return null;
}
}
public function get_token(){
$this->log[] = 'get token called.'.PHP_EOL;
if($this->token){
$this->log[] = 'token found in object'.PHP_EOL;
//echo '<pre>';
//die(debug_print_backtrace());
return $this->token;
} else {
$this->log[] = $this->errors[] = 'token not found in object.'.PHP_EOL;
return null;
}
}
public function get_user($override = false){
$fields = array(
'first_name',
'last_name',
'email',
'id',
'picture',
'birthday',
'gender',);
$fields = implode(',',$fields);
if($this->graph_user === null){
if($this->fb && $this->get_token()){
try {
// Returns a Facebook\FacebookResponse object
$resp_url = '/me?fields='.$fields.'&debug=all';
$this->log[] = $resp_url;
$response = $this->fb->get($resp_url, $this->get_token());
$this->graph_user = $response->getGraphUser();
return $this->graph_user;
}
catch(Facebook\Exceptions\FacebookResponseException $e) {
// When Graph returns an error
$this->api_error = 'fb api error: ' . $e->getMessage();
$this->errors[] = $this->api_error;
return null;
}
catch(Facebook\Exceptions\FacebookSDKException $e) {
// When validation fails or other local issues
$this->sdk_error = 'fb sdk error: ' . $e->getMessage();
$this->errors[] = $this->sdk_error;
return null;
}
} else {
$this->sdk_error = "get_user(): fb connection or token not set. are you logged in?";
$this->errors[] = $this->sdk_error;
//echo '<pre>';
//debug_print_backtrace();
//die('token: '.$this->token);
return null;
}
} else {
$this->sdk_error = "get_user(): graph_user already set";
$this->errors[] = $this->sdk_error;
return $this->graph_user;
}
}
public function get_user_first_name(){
return $this->get_user()['first_name'];
}
public function get_user_last_name(){
return $this->get_user()['last_name'];
}
public function get_user_id(){
return $this->get_user()['id'];
}
public function get_user_email(){
return $this->get_user()['email'];
}
public function get_user_picture(){
return $this->get_user()['picture']['url'];
}
public function get_user_birthday(){
return $this->get_user()['birthday'];
}
public function user_flush(){
//this is the command function.
// runs the basic functionality of this class
// by adding this user to the database if they're not there
// and logging them in if they are.
$this->graph_user = $this->get_user();
//$this->log['graph_user_at_user_flush'] = $this->graph_user;
$this->build_user();
$this->log['GRAPH_USER'] = $this->get_user();
$this->log['user_input_array@user_flush'] = $this->user_input;
if($return = $this->user->fb_register()){
//die(print_r(debug_backtrace(),true));
//$this->log['success return'] = '. '.$return;
return $return;
} else {
//die('<pre>'.print_r(debug_backtrace(),true));
$this->log['fb_register_fail'] = array('fb_register() (also login) failed.',$this->user->get_errors());
return null;
}
}
public function build_user(){
$this->user_input['first_name'] = $this->get_user_first_name();
//$this->user_input['last_name'] = $this->get_user_last_name();
$this->user_input['facebook_id'] = $this->get_user_id();
$this->user_input['email'] = $this->get_user_email();
$this->user_input['image_url'] = $this->get_user_picture();
$this->user_input['birthday'] = $this->get_user_birthday();
if($this->verbose)
print_r($this->user_input);
$this->user = new user($this->user_input,$this->db);
}
public function logout(){
unset($_SESSION['fb_id']);
unset($this->token);
unset($this->fb);
}
public function get_errors(){
return array_unique($this->errors);
}
public function get_log(){
return array_unique($this->log);
}
}
}
//finally, create the connection.
if(!isset($fb))
$fb = new facebook($db);
这可能有点晚了,但我希望它可以帮助其他人。
我有一段时间遇到这个问题,我四处搜索并看到了很多不同的解决方案,其中许多都禁用了 CSRF 检查。因此,在我阅读完所有内容之后,这对我有用。
据我了解,当您的重定向 URL 与您在应用设置中设置的 URL 不匹配时,您会收到此错误,因此我的问题很容易解决,但我也看到人们因会话未正确启动而遇到问题,所以我将涵盖这两个问题。
第 1 步:确保您的会话已在需要时开始。
例如:fb-config.php
session_start();
include_once 'path/to/Facebook/autoload.php';
$fb = new \Facebook\Facebook([
'app_id' => 'your_app_id',
'app_secret' => 'your_secret_app_id',
'default_graph_version' => 'v2.10'
]);
$helper = $fb->getRedirectLoginHelper();
如果您的 facebook 回调代码位于配置之外的另一个文件中,那么也在该文件上启动会话。
例如:fb-callback.php
session_start();
include_once 'path/to/fb-config.php';
try {
$accessToken = $helper->getAccessToken();
} catch (\Facebook\Exceptions\FacebookResponseException $e) {
echo "Response Exception: " . $e->getMessage();
exit();
} catch (\Facebook\Exceptions\FacebookSDKException $e) {
echo "SDK Exception: " . $e->getMessage();
exit();
}
/** THE REST OF YOUR CALLBACK CODE **/
现在,是什么解决了我的实际问题。
第 3 步:在应用设置中设置重定向 URL。
在您的 Facebook 登录应用设置中,转到Valid OAuth 重定向 URI,您应该在其中添加指向 fb-callback.php 文件的 url。
http://example.com/fb-callback.php
AND ALSO
http://www.example.com/fb-callback.php
然后按如下方式设置您的重定向网址。
$redirectURL = "http://".$_SERVER['SERVER_NAME']."/fb-callback.php";
$permissions = ['email'];
$fLoginURL = $helper->getLoginUrl($redirectURL, $permissions);
为什么有和没有 www 以及为什么使用 SERVER_NAME?
因为您的有效 OAuth 重定向 URI需要与您代码中的重定向 URL 匹配,如果在您的应用程序设置中,您只需将 OAuth 重定向设置为http://example.com/fb-callback.php并将您的 $redirectURL 设置为http: //example.com/fb-bacllback.php使其匹配,但用户输入您的站点为http://www.example.com然后用户将收到Facebook SDK 错误:跨站点请求伪造验证失败。持久数据中缺少必需的参数“state”,因为用户所在的 URL 与您设置的不完全匹配。为什么?我没有什么鬼主意。
我的方法是,如果用户以http://example.com或http://www.example.com 的形式输入您的网站,它将始终与您在应用设置中设置的内容相匹配。为什么?因为 $_SERVER['SERVER_NAME'] 将根据用户在浏览器中输入 url 的方式返回带或不带 www 的域。
这是我的发现,这是唯一对我有用的方法,无需删除 CSRF 检查,到目前为止,没有任何问题。
我希望这有帮助。
fb sdk 错误:跨站请求伪造验证失败。持久数据中缺少必需的参数“state”。
这与您正在执行两次调用 getRedirectLoginHelper 和 $helper->getAccessToken() 的例程有关 - 一次“自行”,然后再次在 try-catch 块内(复制和粘贴错误,或不幸的调试尝试)或许?)
我现在有点懒得去检查 SDK 源代码,但我认为它在代码交换令牌后故意取消设置会话内的状态参数,作为使整个过程更安全的一部分 - 这样当你第二次调用 getAccessToken ,它会失败。