Facebook Login-Änderungsprotokoll
02.07.2018
Aktuelle Änderungen an Facebook Login
Facebook Login hat sich in den letzten Monaten sehr verändert, da wir daran arbeiten, die Privatsphäre unserer Nutzer zu schützen und ihnen mehr Kontrolle über ihre Daten zu geben. Wir sind uns bewusst, dass es schwierig sein kann, den Überblick über all diese Updates zu behalten. Daher haben wir eine Übersicht über die aktuellen Änderungen zusammengestellt und stellen dir außerdem Empfehlungen bereit, wie du diese einbeziehen kannst.
Wichtige Daten
Beachte die folgenden Termine, um sicherzugehen, dass deine App oder Webseite weiterhin problemlos funktioniert.
- 1. August 2018: Über App Review erneut den Zugriff auf Facebook Login-Berechtigungen anfordern, falls erforderlich
- 6. Oktober 2018: Die Option „Erzwinge HTTPS“ aktivieren (wird nach diesem Datum automatisch aktiviert)
- 1. November 2018: Apps, die Seitenverwaltung und Bot-Messaging-Berechtigungen verwenden, von ASID zu PSID migrieren
- 8. Januar 2019: Auf Graph API v3.0 aktualisieren
Für bestimmte Berechtigungen ist eine zusätzliche Überprüfung erforderlich
Um die Daten unserer Nutzer besser zu schützen, müssen nun mehr Berechtigungen den App Review-Überprüfungsprozess durchlaufen. Für bestimmte Berechtigungen fordern wir nun auch eine Unternehmensbestätigung und einen Vertrag zwischen deinem Unternehmen und Facebook. Für die Unternehmensbestätigung kannst du Dokumente wie Rechnungen eines Versorgungsunternehmens, Gewerbeerlaubnisse, Gründungsurkunden, Steuernummern und weitere verwenden. Der Vertrag führt weitere Sicherheitsanforderungen und andere Bestimmungen zu Daten ein. Weitere Informationen über den erweiterten App Review-Prozess findest du unter dem Thema App Review.
In der Tabelle unten sind die Überprüfungsstufen für die jeweiligen Facebook Login-Berechtigungen zusammengefasst. Rufe diese Seite häufiger noch einmal auf, um zu sehen, was sich geändert hat.
| App Review NICHT erforderlich | App Review erforderlich | App Review, Unternehmensbestätigung und Vertrag erforderlich |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
| |
|
| |
|
| |
| ||
|
* Wenn du noch kein Upgrade auf Graph API durchgeführt hast, empfehlen wir dir, diese Berechtigungen vor dem 1. August erneut anzufordern. Wenn sie für den Zugriff genehmigt werden, stehen sie dir nach dem Upgrade auf Graph API v3.0 weiterhin zur Verfügung. Änderungen an Graph API v3.0 sind ausführlich in diesem Blog-Post vom 1. Mai 2018 erläutert. Apps können bis zum 8. Januar 2019 auf Graph API v3.0 aktualisiert werden.
Wenn deine App oder Webseite die in der Tabelle oben aufgeführten Berechtigungen bereits vor dem 1. Mai 2018 verwendet hat (der Zeitpunkt, an dem unsere erweiterte Überprüfung begann), hast du bis zum 1. August 2018 Zeit, den Zugriff erneut anzufordern. So stellst du sicher, dass du die sie nach diesem Termin weiterverwenden kannst.
Technologie-Drittanbieter
Unternehmen, die auf der Facebook-Plattform aufbauen und Technologie-Drittanbieter für andere Unternehmen sind, müssen ebenfalls einen zusätzlichen Vertrag unterzeichnen. Der Technologieanbietervertrag beschränkt die Verwendung der Daten allein darauf, dem Kunden, in dessen Namen die Daten erfasst werden, Dienste bereitzustellen. Große Kundenunternehmen, die Technologie-Drittanbieter nutzen, unterliegen möglicherweise ebenfalls dem App Review und müssen eventuell auch die ergänzenden Bedingungen unterzeichnen. Technologieanbieter müssen in den Einstellungen des App-Dashboard angeben, dass es der Unternehmenszweck ist, anderen Unternehmen Dienste bereitzustellen.
Veraltete Facebook Login-Berechtigungen und APIs
Bestimmte Berechtigungen und Features werden nicht mehr verwendet. Sie sind in der folgenden Tabelle aufgeführt. Die Felder, auf die du bisher über diese Berechtigungen zugegriffen hast, werden nicht mehr zurückgegeben, und APIs geben leere Werte zurück.
| Erweiterte Profilberechtigungen | Berechtigungen für Nutzerhandlungen | APIs |
|---|---|---|
|
| Markierbare Freunde |
|
| Alle gemeinsamen Freunde |
|
| |
|
| |
|
| |
|
| |
| ||
|
Weitere Informationen findest du im Blog-Post vom 4. April 2018.
Die Berechtigung publish_actions ist seit dem 24. April 2018 nicht mehr verfügbar. Apps, die vor diesem Datum erstellt wurden und bereits die Genehmigung hatten, publish_actions anzufordern, können dies bis zum 1. August 2018 weiterhin tun. Wenn du publish_actions verwendet hast, empfehlen wir, dass du zu den „Teilen“-Dialogen für Web, iOS und Android von Facebook wechselst. (Weitere Informationen findest du im Blog-Post vom 1. Mai 2018.)
Die folgenden Berechtigungen können ab dem 1. Mai 2018 nicht mehr angefordert werden. Sie sind ab dem 8. Januar 2019 nicht mehr für Apps und Webseiten verfügbar, die vor dem 1. Mai 2018 ihre Genehmigung erhalten haben:
timezonelocalecoveris_verifiedupdated_timeverifiedcurrencydevicesthird_party_id
Weitere Informationen findest du im Blog-Post vom 1. Mai 2018.
Die vollständige Liste der Berechtigungen findest du in der Berechtigungsreferenz.
Profil-Links
Links zu Nutzerprofilen, die mit ASIDs erstellt wurden, funktionieren nicht mehr. Du musst einen Profil-Link aus dem Feld user_link abrufen. Diese Links funktionieren nicht mehr, wenn der Nutzer deine App oder Webseite 90 Tage lang nicht verwendet oder besucht hat, oder wenn der Nutzer deiner App die Berechtigung user_link nicht gewährt hat. Nach der Migration zu Graph API v3.0 ist dieses Feld nur verfügbar, wenn die App die Berechtigung anfordert und der Nutzer sie akzeptiert.
Der user_link wird nur für angemeldete Personen im erweiterten Netzwerk des Nutzers in das eigentliche Facebook-Profil des Nutzers aufgelöst (derzeit definiert als „Freunde von Freunden“, was sich jedoch ändern kann). Andere Personen können möglicherweise nur eine Freundschafts- oder Nachrichtenanfrage senden.
Die Ankündigung dieser Änderungen findest du im Blog-Post vom 19. April 2018.
Zugriffsschlüssel
Verlängern von Zugriffsschlüsseln
Der Zugriff deiner App auf die Nutzerdaten läuft nun nach 90 Tagen ab, es sei denn, Facebook stellt Aktivität in deiner App fest. Auf einigen Plattformen, wie z. B. Facebook Web-Spiele, kann die gesamte Nutzeraktivität überprüft werden. Auf anderen Plattformen, wie z. B. iOS, müssen die Nutzer den Zugriff deiner App auf die Daten möglicherweise alle 90 Tage in einem Login-Dialog erneut bestätigen. Weitere Informationen findest du im Blog-Post vom 9. April 2018.
Du solltest sicherstellen, dass die erneute Autorisierung deiner Apps/Webseiten möglichst problemlos von Nutzern durchgeführt werden kann, deren Zugriffsschlüssel abgelaufen sind. Weitere Informationen zum Aktualisieren von Zugriffsschlüsseln findest du unter Aktualisieren von Nutzer-Zugriffsschlüsseln
Ablauf von Zugriffsschlüsseln
Wir haben den Unterschied zwischen Besuchern, die sich nie angemeldet haben, und Nutzern mit abgelaufenen Zugriffsschlüsseln deutlich gemacht, sodass Entwickler für jede Situation genau die richtige Nutzeroberfläche anzeigen können. Bei Apps, die das JavaScript-SDK verwenden, kannst du mit „FB.getLoginStatus()“ ermitteln, in welchem Status sich ein Nutzer befindet. Es gibt nun den neuen Status „authorization_expired“ zurück, der angibt, dass der Zugriffsschlüssel eines Nutzers abgelaufen ist. Dieser neue Status unterscheidet sich vom Status „not_authorized“, der für Nutzer angegeben wird, die über Facebook Login keine Verbindung mit deiner App hergestellt haben. Bei diesem neuen abgelaufenen Status solltest du den Nutzer daran erinnern, dass er sich zuvor mit Facebook angemeldet hat. Fordere ihn auf, den Login-Vorgang erneut zu durchlaufen, damit sein Konto mit den neuen Informationen aktualisiert wird.
Wir stellen Entwicklern außerdem eine neue Möglichkeit bereit, den Ablauf von Zugriffsschlüsseln für Apps und Webseiten zu testen. Du kannst für jeden Testnutzer, den du für die App erstellst, festlegen, wie lange der Zugriffsschlüssel gültig ist, bevor er abläuft. Wenn du die Zeit bis zum Ablauf anpassen möchtest, kannst du zum Testen deiner App beispielsweise einen kurzen Zeitraum von nur einer Minute oder auch sehr viel länger festlegen. Diese Einstellung findest du im Bearbeitungsmenü der einzelnen Testnutzer. Sie wird auf alle Apps und Webseiten angewendet, die der Testnutzer verwendet.
Für das JavaScript-SDK fügen wir ein neues Feld zum Objekt authResponse hinzu: reauthorize_required_in. Wenn Entwickler Zugriffsschlüssel mit einer kurzen Gültigkeitsdauer verwenden, können sie anhand dieses Felds ermitteln, wann die 90-Tage-Autorisierung der App des Nutzers abläuft. Wenn du die Sitzung des Nutzers im Vorhinein weitere 90 Tage verlängern möchtest, kannst du login() mit dem Parameter auth_type=reauthorize aufrufen. Der App-Nutzer wird dann aufgefordert, die derzeit gewährten Berechtigungen erneut zu akzeptieren, um fortfahren zu können.
Diese Updates wurden in einem Blog-Post vom 1. Mai 2018 angekündigt.
HTTPS erforderlich
Im App-Dashboard ist nun die neue Einstellung Erzwinge HTTPS für Facebook Login verfügbar. Wenn die Einstellung aktiviert ist, müssen alle Facebook Login-Weiterleitungen HTTPS verwenden. Außerdem müssen alle Facebook JavaScript-SDK-Aufrufe, die einen Zugriffsschlüssel zurückgeben oder erfordern, von HTTPS-Seiten aus erfolgen. Weitere Informationen findest du im Blog-Post vom 8. Juni 2018.
Alle neuen Apps, die seit März 2018 erstellt wurden, müssen bereits diese Einstellung verwenden. Vorhandene Apps und Webseiten, die Facebook Login nutzen, haben bis zum 6. Oktober 2018 Zeit, diese Einstellung zu übernehmen. Danach wird sie automatisch aktiviert. Unsichere URIs zur Weiterleitung oder Seiten, die Login- oder API-Aufrufe mit dem JavaScript-SDK von HTTP-Seiten ausführen, funktionieren nach diesem Datum nicht mehr.
Business-Integrationen
„Business-Integrationen“ wird als eine eigene Liste von Diensten in den Kontoeinstellungen eines Nutzers angezeigt, separat von den Apps. Dies sind Dienste, die Nutzer mit ihrem Facebook-Konto verknüpft haben und denen sie spezielle Berechtigungen zum Verwalten von Seiten, Events, Werbeanzeigen oder Seitennachrichten gewährt haben. Dein Zugriff auf Unternehmens-APIs funktioniert weiterhin so wie vor der Änderung. Er läuft erst ab, wenn ein Facebook-Nutzer die Integration von der Seite, von einem Werbekonto, von einem Event usw. entfernt. Die Ankündigung dieser Änderung findest du im Blog-Post vom 1. Mai 2018.
Löschen persönlicher Daten
Wenn Nutzer deine App oder Webseite aus den App- und Webseiteneinstellungen von Facebook löschen, können wir ihnen die Option bereitstellen, mit der sie anfragen können, dass deine App oder Webseite alle Informationen löscht, die du von Facebook über die Nutzer erhalten hast. Die Nutzer werden in der Nutzeroberfläche von Facebook darüber informiert, wann sie eine Anfrage gesendet haben und wann diese von unserem Dienst empfangen wurde. Die Nutzer erhalten außerdem eine Bestätigungsnummer, die du bereitstellst, sowie die Möglichkeit, den Status ihrer Anfrage zu überprüfen. Wenn du Nutzern diese Option bereitstellst, kannst du Anfragen an den Kundendienst besser automatisieren, den Nutzern zeigen, dass du ihre Informationen verantwortlich behandelst, und die Compliance-Anforderungen erfüllen, wie z. B. die Anforderungen der DSGVO.
Um diese Option zu aktivieren, benötigen wir eine Rückruf-URL von dir, an die wir die Anfrage senden können. Du kannst die Rückruf-URL auf der Einstellungenseite von Facebook Login für deine App im App-Dashboard hinzufügen. Deine Rückruf-URL muss HTTPS verwenden. Einzelheiten dazu findest du in der Dokumentation. Weitere Informationen findest du im Blog-Post vom 25. Mai 2018.
Kontaktinformationen des Datenschutzbeauftragten
Wir bieten dir nun die Möglichkeit, für Nutzer in Europa die Kontaktinformationen des Datenschutzbeauftragten auf einfache Weise bereitzustellen. Gehe zur Einstellungenseite von Facebook Login im App-Dashboard, um den Namen (optional), die Postanschrift und die E-Mail-Adresse des Datenschutzbeauftragten hinzuzufügen. Diese Informationen werden den Nutzern in den Einstellungen der Apps und Webseiten verfügbar gemacht, damit sie sich an deinen Datenschutzbeauftragten wenden können, wenn sie Fragen dazu haben, wie ihre Daten verarbeitet und verwendet werden. Weitere Informationen findest du im Blog-Post vom 25. Mai 2018.
Entwicklungsmodus
Bei Apps, die sich im Entwicklungsmodus befinden, geben API-Aufrufe Nutzerdaten nur für solche Nutzer zurück, die eine Rolle in der App haben (z. B. Administrator, Entwickler oder Tester). Dies gilt für die Facebook-Profil- und -Seiten-API sowie andere APIs. Weitere Informationen findest du im Blog-Post vom 24. April 2018.
Apps, die sich im Entwicklungsmodus befinden, sind nun auf 200 Aufrufe pro Stunde und pro Seiten-App-Paar beschränkt und können nur auf Nutzer zugreifen, die eine Rolle in der App haben (Administrator, Entwickler oder Tester). Du kannst die Diagramme für die Aktivitäts-Ratenbegrenzung deiner App im App-Dashboard anzeigen. Entwickler und Administratoren von Apps im öffentlichen Modus können nur auf die Berechtigungen zugreifen, für die die App zugelassen wurde.
Wir empfehlen, dass Entwickler diese Begrenzungen bei der Entwicklung neuer Features für ihre Apps berücksichtigen.
Wichtige Referenzen und Tools
- Wenn die aktuellen Änderungen deine App oder Webseite betreffen und du eine Eskalation hast, die Facebook überprüfen soll, verwende dieses Formular: https://go.fb.com/2018-FB4D-platform-review-form.html.
- Weitere Informationen zum App Review-Prozess und zu APIs und Berechtigungen, die eine Überprüfung erfordern, findest du hier: https://developers.facebook.com/docs/apps/review.
- Das API Update Tool unterstützt dich dabei, die Auswirkungen einer Migration auf die aktuelle oder eine neuere Graph API-Stufe zu bewerten. Informationen darüber, welche API-Aufrufe deiner App von den Änderungen in neueren Versionen der API betroffen sind, findest du unter https://developers.facebook.com/tools/api_versioning/.
- Um den Betriebsstatus von Facebook Login zu prüfen und Beispiele für Code anzuzeigen, den du entsprechend deiner Berechtigungen von Facebook Login erhalten kannst, gehe zur Beispiel-App unter fbrell.com.
- Zum Nachverfolgen der aktuellen Änderungen an Graph API:
- Änderungsprotokoll: https://developers.facebook.com/docs/graph-api/changelog
- Neueste Änderungen: https://developers.facebook.com/docs/graph-api/changelog/breaking-changes