FaceBook使用PHP SDK登录问题 Cross-site request forgery validation failed. Required param “state” missing from persistent data

作者: hsf 分类: PHP 发布时间: 2018-01-05

问题描述

使用Facebook官网php登录代码进行登录,返回如下错误:

Facebook SDK returned an error: Cross-site request forgery validation failed. Required param “state” missing from persistent data.

代码来源:https://developers.facebook.com/docs/php/howto/example_facebook_login

问题分析

网上搜索该问题,基本确定是由于CSRF机制导致的,什么是CSRF,摘一段百科上的解释:

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

解决方案

在Facebook回调中,增加一段代码即可,修改后的回调代码如下:

'{app-id}', // Replace {app-id} with your app id
  'app_secret' => '{app-secret}',
  'default_graph_version' => 'v2.2',
  ]);

$helper = $fb->getRedirectLoginHelper();

/********下面两行,选择任意一种即可********/
//$helper->getPersistentDataHandler()->set('state', $request->query->get('state'));
$_SESSION['FBRLH_state']=$_GET['state']; /*Add This*/

try {
  $accessToken = $helper->getAccessToken();
} catch(Facebook\Exceptions\FacebookResponseException $e) {
  // When Graph returns an error
  echo 'Graph returned an error: ' . $e->getMessage();
  exit;
} catch(Facebook\Exceptions\FacebookSDKException $e) {
  // When validation fails or other local issues
  echo 'Facebook SDK returned an error: ' . $e->getMessage();
  exit;
}

if (! isset($accessToken)) {
  if ($helper->getError()) {
    header('HTTP/1.0 401 Unauthorized');
    echo "Error: " . $helper->getError() . "\n";
    echo "Error Code: " . $helper->getErrorCode() . "\n";
    echo "Error Reason: " . $helper->getErrorReason() . "\n";
    echo "Error Description: " . $helper->getErrorDescription() . "\n";
  } else {
    header('HTTP/1.0 400 Bad Request');
    echo 'Bad request';
  }
  exit;
}

// Logged in
echo '
Access Token
';
var_dump($accessToken->getValue());

// The OAuth 2.0 client handler helps us manage access tokens
$oAuth2Client = $fb->getOAuth2Client();

// Get the access token metadata from /debug_token
$tokenMetadata = $oAuth2Client->debugToken($accessToken);
echo '
Metadata
';
var_dump($tokenMetadata);

// Validation (these will throw FacebookSDKException's when they fail)
$tokenMetadata->validateAppId('{app-id}'); // Replace {app-id} with your app id
// If you know the user ID this access token belongs to, you can validate it here
//$tokenMetadata->validateUserId('123');
$tokenMetadata->validateExpiration();

if (! $accessToken->isLongLived()) {
  // Exchanges a short-lived access token for a long-lived one
  try {
    $accessToken = $oAuth2Client->getLongLivedAccessToken($accessToken);
  } catch (Facebook\Exceptions\FacebookSDKException $e) {
    echo "
Error getting long-lived access token: " . $helper->getMessage() . "

\n\n";
    exit;
  }

  echo '
Long-lived
';
  var_dump($accessToken->getValue());
}

$_SESSION['fb_access_token'] = (string) $accessToken;

// User is logged in with a long-lived access token.
// You can redirect them to a members-only page.
//header('Location: https://example.com/members.php');
?>

新问题

这样改完之后,访问回调出现了问题,500 (Internal Server Error)

这个问题没搞明白啥原因


如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

更多阅读
标签云
600 2000 coco disnep gdiplus Graphics MFC php pixar RedrawEllipse VC++ VS2008 win7 windows 下载 分手 勇敢 半透明 半透明效果 套路 寻梦环游记 小龙人 干锅 干锅鸡蛋 我是一条小青龙 效率 标签 治牙 球体填充 球体进度条 生活笑料 用心做好产品 皮克斯 瞌睡虫 红包 美食 补牙 被遗忘才是真正的永别 见面礼 视频 请记住我 赖床视频 进度条 迪斯尼 鸡蛋