c# - 如何在使用 Facebook Developer Toolkit 授予 offline_access 后立即获取 Facebook 无限 session key

Question

我正在使用 Facebook Developer Toolkit 的 3.0 版本构建一个 MVC iframe Facebook 应用程序，并且在授予无限 session key 后立即获取它时遇到了一些问题。

当用户第一次点击我的应用程序设置 View 来设置他们的偏好时，他们只有来自 Facebook 的通常的到期 session key 。没问题。

根据他们选择的首选项，我使用 Facebook javascript 客户端库 FB.Connect.showPermissionDialog 方法提示他们提供 offline_access 扩展权限。再次没问题，他们授予权限。

此时会发出一个新的不会过期(无限)的 session key 。我需要将其保存到我的数据库中以备将来使用。问题是，我不知道如何在需要时立即获取它。包含 session 信息的 Facebook cookie 不会更新，直到再刷新几次页面。

Facebook 错误跟踪器中有一个与此相关的错误 ID 6421 的未解决错误，但我正在寻找使用 Facebook Developer Toolkit 3.0 版本的服务器端解决方案。我想要一种方法来告诉 FDT api 转到 Facebook 并获取新 session 。

我知道新 session 是在Facebook端建立的。在 http://www.facebook.com/extern/login_status.php 上有一个 GET 信号在用户授予 offline_access 权限后立即显示在 Firebug Net 面板中，并使用包含新的非过期 session key 的一些 javascript 进行响应。如果我继续使用旧的过期 session key ，我会收到来自 Facebook 的无效 session 错误。

在我的 Controller 中，我有如下代码:

[AcceptVerbs(HttpVerbs.Post)]
[FacebookAuthorization(IsFbml = false)]
public ActionResult Index(FormCollection collection)
{
        var api = this.GetApi();
        var userid = api.Session.UserId;
        var key = api.Session.SessionKey;
}

这是获取旧的 SessionKey，而不是新的未过期的。

如果我在 GET 上用 ExtendedPermissions="offline_access"装饰我的 ActionResult，我就不会遇到这个问题，迫使用户在看到页面之前授予 offline_access，但我不喜欢这种用户体验。我更喜欢仅在需要时提示使用 javascript，当我使用 ExtendedPermissions="offline_access"时，javascript 权限灯箱比全页宽度权限提示要好得多。

我还尝试拦截对我的 xd_receiver 的调用(我创建了一个 View ，因此我可以在其 Controller 中命中调试器断点并检查来自 Facebook 的传入请求)。它在授予扩展权限期间受到攻击，但它再次引用了旧的到期 session 信息。

总而言之，我正在寻找一种使用 Facebook 开发人员工具包强制从 Facebook 刷新 session 并获取新的无限 session key (和 secret )的方法。

Answer 1

不想回答我自己的问题，但总比没有解决方案好。希望这对其他人有帮助。

问题的根本原因是 cookie 没有及时更新新 session ，或者直到页面重新加载。 Facebook 开发人员说这是浏览器问题。包括 .NET Facebook Developer Toolkit 在内的所有 Facebook 客户端库都依赖 cookie 获取 session 信息。因此，如此依赖 cookie 是浏览器错误、Facebook 错误或 Facebook 设计缺陷。请参阅 Facebook 错误 6421。

幸运的是，Facebook 在 alpha 中有一个新的 Javascript 客户端库，它有一个可用的无 cookie 选项。

<div id="fb-root"></div>
<script type="text/javascript"
    src="http://static.ak.fbcdn.net/connect/en_US/core.js">
</script>

<script type="text/javascript" >

    // initialize the library with the API key, set cookie: false
    FB.init({
        apiKey: your_facebook_apikey,
        cookie: false,
    });

    FB.getLoginStatus(function(response) {
        if (response.session) {
            alert(response.session.session_key);
        } else {
            // re-prompt for permissions or do some other exception handling
        }
    }, true); // critical optional parameter to force a refresh

</script>

(为简洁起见省略 facebook 权限提示和其他内容)

在我的 MVC 应用程序中，我在 Javascript 中提示权限。在提交我的表单之前，我执行 getLoginStatus 调用并将 session key 和密码放入表单字段，以便将它们发布到 Controller 。

新的 Javascript 客户端库在 github 上 http://github.com/facebook/connect-js