Changelog Facebook Login
2018-07-02
Modifications récentes à Facebook Login
Facebook Login a beaucoup changé au cours des derniers mois, car nous travaillons à protéger la vie privée des gens et à leur donner un plus grand contrôle sur leurs informations. Nous sommes conscients qu’il peut être difficile de suivre avec toutes ces mises à jour. Pour vous aider, nous avons fait un résumé des changements récents, avec des recommandations pour les incorporer.
Dates clés
N’oubliez pas que les délais suivants sont là pour vous aider à garantir un fonctionnement lisse de votre app et site web.
- 1 août 2018 : Nouvelle demande d’un accès aux autorisations Facebook Login, si nécessaire, par le biais du Contrôle app
- 6 octobre 2018 : Activation de « Appliquer le protocole HTTPS » (qui sera activé automatiquement après cette date).
- 1er novembre 2018 : Migration vers PSID depuis ASID pour les apps utilisant des autorisations de gestion de page et de messagerie bot
- 8 janvier 2019 : Mise à niveau vers l’API Graph v.3.0
Contrôle supplémentaire requis pour certaines autorisations
Pour aider à protéger les données des personnes, nous exigeons à présent qu’un plus grand nombre d’autorisations passent par le processus de Contrôle app. Pour certaines autorisations, nous exigeons également une vérification d’entreprise et un contrat entre votre entreprise et Facebook. Les entreprises peuvent être vérifiées en fournissant des documents comme des factures d’électricité, des permis de travail, des certificats de formation, des articles d’incorporation, des numéros d’identification fiscale et autres. Le contrat présente des exigences de sécurité supplémentaires et d’autres provisions autour des données. Apprenez-en davantage sur notre processus de Contrôle app dans la rubrique Contrôle app.
Le tableau ci-dessous résume le niveau du contrôle nécessaire aux autorisations Facebook Login. Veuillez vérifier régulièrement les mises à jour de ce tableau.
| Contrôle app NON obligatoire | Contrôle app obligatoire | Contrôle app, Vérification de l’entreprise et Contrat obligatoire |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
| |
|
| |
|
| |
| ||
|
* Si vous n’êtes pas encore passé à l’API Graph, nous vous recommandons de redemander ces autorisations avant le 1er août. En cas d’approbation d’accès, vous pourrez toujours y accéder même après la mise à niveau à l’API Graph v3.0. Les changements apportées à l’API Graph v3.0 sont décrits en détail dans cet article de blog du 1er mai 2018. Les apps ont jusqu’au 8 janvier 2019 pour passer à l’API Graph v3.0.
Si votre app ou site web utilisait déjà les autorisations présentées dans le tableau ci-dessus avant le 1er mai 2018 lorsque notre contrôle amélioré a débuté, vous avez jusqu’au 1er août 2018 pour demander à nouveau un accès et veiller à continuer à les utiliser.
Fournisseurs en technologie tiers
Les entreprises construisant avec la plate-forme Facebook pour servir d’autres entreprises car un fournisseur en technologie tiers doit également signer un contrat supplémentaire. Le contrat du fournisseur en technologie limite l’utilisation des données à l’unique objectif de fournir des services au client au nom de la personne dont les données sont collectées. Les clients importants faisant appel à des fournisseurs en technologie tiers seront peut-être soumis au Contrôle app et devront peut-être signer des termes supplémentaires. Les Fournisseurs en technologie peuvent identifier leur utilisation d’entreprise comme la fourniture de services à d’autres entreprises dans les paramètres de l’Espace App.
Autorisations Facebook Login et API obsolètes
Nous avons abandonné certaines autorisations et fonctionnalités, comme indiqué dans le tableau ci-dessous. Les champs auparavant accessibles à travers ces autorisations ne seront plus renvoyés, et les API renverront des valeurs vides.
| Autorisations du profil étendues | Autorisations d’actions de l’utilisateur | API |
|---|---|---|
|
| Amis taggables |
|
| Tous les amis mutuels |
|
| |
|
| |
|
| |
|
| |
| ||
|
Consultez l’article de blog du 4 avril 2018 pour en savoir plus.
L’autorisation publish_actions a été abandonnée le 24 avril 2018. Les apps créées avant cette date ayant été approuvées pour demander publish_actions pourront continuer à le faire jusqu’au 1er août 2018. Si vous utilisiez publish_actions, nous vous recommandons de passer aux boîtes de dialogue de partage pour le web de Facebook, iOS et Android. (Consultez l’article de blog du 1er mai 2018.)
Les autorisations suivantes ne pourront plus être demandées à partir du 1er mai 2018 et seront abandonnées à partir du 8 janvier 2019 pour les apps et les sites web ayant obtenu une approbation avant le 1er mai 2018 :
timezonelocalecoveris_verifiedupdated_timeverifiedcurrencydevicesthird_party_id
Consultez l’article de blog du 1er mai 2018.
Vous pouvez voir la liste complète des autorisations dans Référence relative aux autorisations.
Liens du profil
Les liens vers des profils d’utilisateur construits en utilisant des ASID ne fonctionnent plus. Vous devez récupérer un lien de profil depuis le champ user_link. Ces liens ne fonctionneront pas si la personne n’a pas utilisé votre app ou site web dans les 90 jours, ou si la personne a refusé d’accorder l’autorisation user_link à votre app. Après la migration vers l’API Graph v3.0, ce champ ne sera disponible que si votre app effectue une demande et que l’utilisateur approuve l’autorisation.
Le code user_link sera associé uniquement au profil Facebook actuel de l’utilisateur pour les personnes connectées dans le réseau étendu de cette personne (actuellement définies comme amis d’amis mais soumises au changement). Les autres personnes pourront uniquement envoyer une demande d’ami ou de message.
Consultez l’article de blog du 19 avril 2018 annonçant ces changements.
Tokens d’accès
Renouvellement des tokens d’accès
L’accès de votre application aux données de l’utilisateur expire à présent au bout de 90 jours sauf si Facebook est capable de vérifier l’activité dans votre app. Sur certaines plate-formes, comme les jeux web Facebook, toute l’activité de l’utilisateur peut être vérifiable et sur d’autres plate-formes, comme iOS, les utilisateurs devront peut-être autoriser à nouveau votre accès aux données de l’application en acceptant les autorisations dans une boîte de dialogue Login tous les 90 jours. Consultez l’article de blog du 9 avril 2018.
Nous vous avons recommandé de veiller à ce que vos apps/sites web aient un flux de réautorisation lisse pour les personnes dont les tokens d’accès ont expiré. Vous en saurez plus sur la réactualisation des tokens d’accès dans Réactualiser les Tokens d’accès d’utilisateur
Expiration du token
Nous avons clarifié la différence entre les visiteurs ne s’étant jamais connecté et les utilisateurs avec des tokens d’accès expirés afin que les développeurs puissent afficher l’interface utilisateur la plus appropriée à chaque situation. Pour les apps utilisant le SDK JavaScript, FB.getLoginStatus() vous permet de déterminer l’état dans lequel un utilisateur se trouve, et renvoie à présent un nouveau statut, authorization_expired, pour indiquer qu’un jeton d’utilisateur a expiré. Ce nouvel état est différent de l’état not_authorized que vous obtiendrez pour les utilisateurs ne s’étant pas connectés à votre app via Facebook Login. Pour ce nouvel état expiré, vous devrez peut-être rappeler à la personne qui s’était connectée avec Facebook et l’inviter à repasser par le processus de connexion pour réactualiser son compte avec les dernières informations.
Nous offrons également aux développeurs une nouvelle façon de tester l’expiration des tokens dans leurs apps et sites web. Pour chaque utilisateur test créé pour votre app, vous pourrez choisir le délai avant l’expiration des tokens d’accès. Si vous choisissez d’utiliser un délai d’expiration personnalisé, vous pouvez définir un intervalle d’une minute minimum ou plus long si nécessaire pour vos tests d’app uniques. Vous trouverez ce paramètre dans le menu Édition pour chaque utilisateur test, et il s’applique à toutes les apps et sites web utilisés par l’utilisateur test.
En ce qui concerne le SDK JavaScript, nous ajoutons un nouveau champ à l’objet authResponse appelé reauthorize_required_in. Ceci permet aux développeurs travaillant avec des tokens à court terme de savoir quand l’autorisation de l’app de 90 jours d’une personne expirera. Si vous voulez prolonger proactivement la session d’une personne de 90 jours supplémentaires, vous pouvez appeler login() avec le paramètre auth_type=reauthorize, qui leur demandera d’accepter à nouveau les autorisations actuellement accordées à votre app pour continuer.
Ces mises à jour ont été annoncées dans un article de blog du 1er mai 2018.
HTTPS obligatoire
Un nouveau paramètre Appliquez le protocole HTTPS pour Facebook Login est à présent disponible dans l’Espace app. Lors de l’activation, toutes les redirections Facebook Login doivent utiliser HTTPS, et que tous les appels SDK Javascript de Facebook renvoyant ou exigeant un token d’accès se fassent uniquement depuis des pages HTTPS. Consultez l’article de blog du 8 juin 2018.
Toutes les nouvelles apps créées depuis mars 2018 sont déjà obligées d’utiliser ce paramètre, et les apps et sites web existants utilisant Facebook Login ont jusqu’au 6 octobre 2018 pour adhérer avant l’activation automatique. Toutes les URI ou pages de redirection non sécurisées établissant des connexions ou faisant des appels API avec le Javascript SDK à partir de pages HTTP ne fonctionneront plus après cette date.
Intégrations professionnelles
« Intégrations professionnelles » s’affiche comme une liste de services séparée des apps sous les paramètres du compte d’une personne. Il s’agit de services aux personnes connectées à leur compte Facebook et ayant reçu des autorisations spéciales pour gérer des pages, événements, publicités ou messagerie de page. Votre accès aux API d’entreprise continuera de fonctionner comme avant ce changement, sans expiration, jusqu’à ce qu’un utilisateur Facebook supprime l’intégration à la page, compte publicitaire, évènement, etc. Consultez l’article de blog du 1er mai 2018 annonçant ce changement.
Suppression des données personnelles
Si quelqu’un supprime votre app ou site web des paramètres apps et sites web de Facebook, nous pouvons leur proposer de demander que votre app ou site web supprime toutes les informations que Facebook vous a transmises sur eux. L’expérience sur Facebook informera les gens quand ils enverront une demande et quand elle sera confirmée par votre service. Ils recevront également un numéro de confirmation que vous fournirez afin qu’ils puissent vérifier le statut de leur demande. Proposer cette option aux gens peut vous aider à automatiser les demandes du service clientèle, démontrer que vous gérer leurs informations de manière responsable et à vous conformer aux exigences réglementaires, comme le RGPD.
Pour activer cette option, vous devez nous communiquer une URL de rappel à laquelle nous pouvons envoyer la demande. Vous pouvez ajouter l’URL de rappel à la page des Paramètres Facebook Login de votre app dans l’espace app. Votre rappel doit utiliser le protocole HTTPS. Consultez la documentation pour en savoir plus. Consultez l’article de blog du 25 mai 2018.
Coordonnées de l’Agent de Protection des données
Nous vous offrons à présent une manière de communiquer facilement les coordonnées de votre DPO aux utilisateurs européens. Allez à la page des Paramètres Facebook Login de votre app dans l’espace app pour ajouter le nom (facultatif), l’adresse postale et l’adresse e-mail de votre DPO. Ces informations seront disponibles dans les paramètres des apps et sites web des gens afin qu’ils puissent contacter votre DPO s’ils ont des questions sur la manière dont leurs données sont traitées et utilisées. Consultez l’article de blog du 25 mai 2018.
Mode développement
Pour les apps en mode développement, les appels d’API renverront les données de l’utilisateur uniquement pour ceux ayant un rôle dans l’app (ex., administrateur, développeur ou testeur). Cela concerne le Profil Facebook, les Pages et d’autres API. Consultez l’article de blog du 24 avril 2018.
Les apps en mode développement sont à présent limitées à 200 appels par heure, par paire app-page, et peuvent uniquement accéder aux utilisateurs ayant un rôle sur l’app (administrateur, développeur ou testeur). Voir les tableaux d’activité limite de votre app dans votre espace app. Les développeurs et administrateurs d’apps en mode public peuvent uniquement accéder aux autorisations pour lesquelles l’app a été approuvée.
Nous recommandons aux développeurs de prendre ces limites en compte lorsqu’ils développent de nouvelles fonctionnalités pour leurs apps.
Références et outils importants
- Si votre app ou site web a été affecté par les changements récents et que vous avez une remontée à faire contrôler par Facebook, veuillez utiliser ce formulaire : https://go.fb.com/2018-FB4D-platform-review-form.html.
- Pour en savoir plus sur le processus de Contrôle app et les API et autorisations nécessitant un contrôle, rendez-vous à la page https://developers.facebook.com/docs/apps/review.
- L’Outil de mise à jour d’API aide à évaluer l’impact de la migration au dernier ou plus récent niveau de l’API graphique. Pour voir lesquels de vos appels API d’app seront affectés par les changements dans les nouvelles versions de l’API, rendez-vous à la page https://developers.facebook.com/tools/api_versioning/.
- Pour vérifier le fonctionnement de Facebook Login et voir des exemples du code que vous pouvez récupérer de Facebook Login selon vos autorisations, allez dans l’app échantillon à l’adresse fbrell.com.
- Pour suivre les derniers changements apportés à l’API Graph :
- Modifications importantes : https://developers.facebook.com/docs/graph-api/changelog/breaking-changes