Facebook and OAuth 2.0

為什麼需要認證?

一般應用程式都需要使用者做過認證，才能允許存取使用者自有資料或系統中較重要的功能。透過Facebook做身分認證已經是一種趨勢，像Stackoverflow也提供Facebook帳戶登入的功能:

不管是Stackoverflow還是其它應用程式，除了要取得臉書上個人資料以識別使用者外，也有可能會分享訊息到臉書上。舉例來說，我常常會使用Garmin Connect的分享功能，將我騎自行車的紀錄發佈到臉書上；有些人則會將噗浪或是Blogger的內容，分享到臉書上。這些動作都是透過Graph API達成，而要做這些動作的先決條件就必須透過認證。有幾個人會開著門讓不認識的進來開冰箱吃餅乾吧?

What's OAuth 2.0?

Facebook提供認證的方式，就是根據OAuth 2.0去實做的。首先來看看OAuth 2.0的Spec中的認證流程示意圖:

     +--------+                               +---------------+
     |        |--(A)- Authorization Request ->|   Resource    |
     |        |                               |     Owner     |
     |        |<-(B)-- Authorization Grant ---|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(C)-- Authorization Grant -->| Authorization |
     | Client |                               |     Server    |
     |        |<-(D)----- Access Token -------|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(E)----- Access Token ------>|    Resource   |
     |        |                               |     Server    |
     |        |<-(F)--- Protected Resource ---|               |
     +--------+                               +---------------+

軟體設計有個很重要的概念就是Abstract，這樣才會有足夠的擴充性，而OAuth2.0中的各個Element都代表著抽象的概念。

它的認證流程，就像是你(Client)想代替你媽媽(Resource Owner)去中華電信(Resource Server)轉移門號(Protected Resource)，你會拿著她的雙證件(Authorization Grant)去中華電信辦理。中華電信小姐用證件在她們系統(Authorization Server)核對資料正確無誤後，也代表著你獲得轉移門號的資格(Access Token)。

當然你也可以拿著假證件去做一樣的事情，這就像是駭客一樣去入侵人家的Server或者是闖空門。如果被抓請不要找我..

臉書上是怎樣?

當OAuth2.0在Facebook上是怎樣呢? 讓我們看看示意圖:

在臉書上，Client可能是iOS、Android上的應用程式或Web應用程式；Resource Owner就是一個End User，即APP的使用者；而Authorization與Resource Server，就是控管整個資源存取與實作OAuth認證機制的Facebook。

一個App可能是透過Browser或Mobile的方式讓User使用。當App存取到User在Faceook上的資料時，如取得朋友名單或是發佈訊息到塗鴉牆，必須先讓User授權，以取得Access Token去操作Graph API的。主要的過程如下:

1. 跳出Dialog讓User決定是否允許這些存取。
2. User授權給你的App，這時候App就會獲得一個類似授權碼的東西。
3. 使用授權碼去和Facebook換取Access Token讓你可以使用Graph API。
4. 使用Graph API並代入Access token存取User資料。
5. 取得User資料。

整個過程要表達的就是: 想盡辦法弄到Access Token。

Summary

讀完這篇該文章，應了解到臉書的認證機制。也知道要使用Graph API去存取基本資料外的東西，就必須透過Access Token。另外還有幾點需要注意:

• User必須登入臉書 並不是每一個App都是透過臉書Canvus的方式讓User存取。如果是在手機上或一般的Web應用程式，在存取臉書資料前都必須先登入。一般都是提供Login Button讓User可以做登入的動作。
• Access Token是否會過期或無效? Access Token有所謂的有效時間，當過了這個有效時間就會發生問題。除此之外，User登出臉書與User取消授權都會造成Access Token過期或無效。因此在使用Graph API時，你必須處理如下面的回傳結果。最簡單的解決方法就是重新請求授權拉!

{
  "error": {
    "message": "Error validating access token: Session has expired at unix 
                time SOME_TIME. The current unix time is SOME_TIME.", 
    "type": "OAuthException", 
    "code": 190
  }
}

• OAuth2.0只有這樣? 我只能提到這樣。在它規格書中，還提到更多流程與細節，包含Authorization Grant的四種方式、Refresh Access Token的流程等。但我想這是有需要去實作OAuth2.0的Developer才需要看的，有興趣的讀者可自行參考它的規格書。
• Implementation 這才是大家最想知道的吧? 但由於實作的方式會根據應用程式平台、實作的語言而使用不同的方式。原本設定要在這篇文章中教給大家，但怕篇幅太大而決定拆成幾篇小文章再一一分享。

Reference

• Facebook document
• OAuth2.0 Protocol Spec