Итак, я использую iFrame на своей вкладке, и я делаю один из тех «подобных контрольно-пропускных пунктов», когда пользователю нужно понравиться страница, чтобы просмотреть секретный контент. Есть ли лучший и более простой способ сделать это, чем спрашивать разрешения?
Я знаю, что для вкладок, созданных с помощью FBML, они не запрашивают разрешения, но я предполагаю, что это потому, что это НЕ iframe.
Спасибо!
Конечно вы можете! Как упоминалось в документации, Facebook отправит вам дополнительную информацию в signed_request:
Когда пользователь переходит на страницу Facebook, он увидит, что вкладка вашей страницы добавлена в следующую доступную позицию вкладки. В целом вкладка страницы загружается точно так же, как и страница холста. Когда пользователь выбирает вкладку «Страница», вы получаете параметр signed_request с одним дополнительным параметром, страницей. Этот параметр содержит объект JSON с идентификатором (идентификатор текущей страницы), admin (если пользователь является администратором страницы) и like (если пользователю понравилась страница). Как и в случае со страницей холста, вы не получите всю информацию о пользователе, доступную для вашего приложения, в файле signed_request, пока пользователь не авторизует ваше приложение.
Код взят из моего tutorial должен выглядеть примерно так:
<?php
if(empty($_REQUEST["signed_request"])) {
// no signed request where found which means
// 1- this page was not accessed through a Facebook page tab
// 2- a redirection was made, so the request is lost
echo "signed_request was not found!";
} else {
$app_secret = "APP_SECRET";
$data = parse_signed_request($_REQUEST["signed_request"], $app_secret);
if (empty($data["page"]["liked"])) {
echo "You are not a fan!";
} else {
echo "Welcome back fan!";
}
}
function parse_signed_request($signed_request, $secret) {
list($encoded_sig, $payload) = explode('.', $signed_request, 2);
// decode the data
$sig = base64_url_decode($encoded_sig);
$data = json_decode(base64_url_decode($payload), true);
if (strtoupper($data['algorithm']) !== 'HMAC-SHA256') {
error_log('Unknown algorithm. Expected HMAC-SHA256');
return null;
}
// check sig
$expected_sig = hash_hmac('sha256', $payload, $secret, $raw = true);
if ($sig !== $expected_sig) {
error_log('Bad Signed JSON signature!');
return null;
}
return $data;
}
function base64_url_decode($input) {
return base64_decode(strtr($input, '-_', '+/'));
}
?>
ОБНОВЛЕННЫЙ КОД: предыдущий код будет работать. Я не проверял действительность запроса. Это означает, что кто-то может подделать запрос и отправить вам ложную информацию (например, установить admin на true!). Код был обновлен в соответствии с signed_request документацией.
