使用我的应用程序密钥生成 Facebook 签名？

Question

当您使用“facebook connect”建立网站并使用用户名和密码登录 facebook 时，facebook 就会在您的网站上设置一个会话。

在该会话中会生成一个“签名”。

该签名是通过将只有您和 Facebook 知道的“应用程序机密”数据与 MD5 散列结果相结合而创建的。

我需要用于生成该签名的算法，以便我可以重新创建它并确保它与 Facebook 创建的签名相匹配。

if($_SESSION['facebookSignature'] == reGeneratedSignature){
   // save to database
}else{
  // go away I don't trust you
}

这样我就可以验证用户，并且不需要对 Facebook 进行不必要的调用并允许用户继续使用该网站。

Answer 1

验证签名链接是可行的方法，因此应该适合您。

查看 FBConnectAuth 的源代码，它确实你想要什么，并且是通用的，以便它能够适应可能出现的任何新的 FB Connect cookie - 因此希望它能够适应新的 JS 库。

希望有帮助，

亚当

Answer 2

重建 Facebook 创建的签名相当简单。您只需附加所有 key=value 对，然后附加您的私钥，最后计算结果字符串的 MD5 哈希值。

有关如何构建签名的更多详细信息，请参阅此 答案。

Facebook 在 此处 中提供了一个 PHP 示例，说明如何重建 sig单点登录部分。

我写了一篇 博客文章 做的完全一样，但是用 Ruby 代替。