Registro modifiche Facebook Login
02/07/2018
Modifiche recenti a Facebook Login
Facebook Login è cambiato molto negli ultimi mesi, come conseguenza del lavoro profuso per proteggere la privacy degli utenti e consentire loro un maggiore controllo delle loro informazioni. È comprensibile che possa essere difficile rimanere aggiornati su tutte le modifiche apportate. Per aiutarti, è stato compilato un riepilogo delle modifiche recenti, unitamente alle raccomandazioni per la loro integrazione.
Date chiave
Ricorda le seguenti scadenze per garantire il buon funzionamento della tua app o del tuo sito Web.
- 1 agosto 2018: Nuova richiesta di accesso alle autorizzazioni di Facebook Login, se necessario, tramite l'analisi dell'app
- 6 ottobre 2018: Autorizzazione dell'"Abilitazione HTTPS" (verrà abilitata automaticamente dopo questa data)
- 1 novembre 2018: Migrazione a PSID da ASID per le app che utilizzano le autorizzazioni di gestione delle Pagine e di messaggistica bot
- 8 gennaio 2019: Aggiornamento all'API Graph v.3.0
Revisione aggiuntiva richiesta per alcune autorizzazioni
Al fine di proteggere i dati degli utenti, ora è necessario che un numero maggiore di autorizzazioni venga sottoposto al processo di analisi dell'app. Per alcune autorizzazioni, vengono inoltre richieste la verifica aziendale e la stipula di un contratto tra la tua azienda e Facebook. Le aziende possono essere verificate fornendo della documentazione, tra cui bollette, visure camerali, certificati di formazione, statuti, certificati di attribuzione della partita IVA ecc. Il contratto introduce requisiti di sicurezza aggiuntivi e altre disposizioni in merito ai dati. Puoi leggere ulteriori informazioni sul processo di analisi dell'app ottimizzato nell'argomento Analisi dell'app.
La tabella seguente riepiloga il livello di revisione necessario per le autorizzazioni di Facebook Login. Controlla spesso questa tabella per verificare la presenza di nuovi aggiornamenti.
| NON è necessaria l'analisi dell'app. | È necessaria l'analisi dell'app. | Sono necessari analisi dell'app, verifica aziendale e contratto. |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
| |
|
| |
|
| |
| ||
|
* Se non hai ancora eseguito l'aggiornamento all'API Graph, ti consigliamo di richiedere nuovamente queste autorizzazioni entro il 1 agosto. Se l'accesso viene approvato, continueranno a essere disponibili dopo l'aggiornamento all'API Graph v3.0. Le modifiche all'API Graph v3.0 sono dettagliate in questo post sul blog del 1 maggio 2018. Le app devono eseguire l'aggiornamento all'API Graph v3.0 entro l'8 gennaio 2019.
Se la tua app o il tuo sito Web utilizzano già le autorizzazioni mostrate nella tabella precedente prima del 1 maggio 2018, quando è iniziata la nostra revisione avanzata, hai tempo fino al 1 agosto 2018 per richiedere nuovamente l'accesso e assicurarti di poter continuare a utilizzarli dopo tale data.
Fornitori di tecnologia di terzi
Anche le aziende che creano sulla piattaforma Facebook per servire altre aziende come fornitori di tecnologie di terzi devono firmare un contratto aggiuntivo. Il contratto per il fornitore di tecnologia limita l'utilizzo dei dati al solo scopo di servire il cliente per conto del quale vengono raccolti i dati. I clienti di grandi dimensioni che utilizzano fornitori di tecnologia di terzi potrebbero essere soggetti all'analisi dell'app e potrebbero dover firmare i termini supplementari. I fornitori di tecnologia devono indicare come uso aziendale la fornitura di servizi ad altre aziende nelle impostazioni della dashboard gestione app.
Autorizzazioni e API Facebook Login dichiarate obsolete
Abbiamo eliminato alcune autorizzazioni e funzioni, come mostrato nella tabella seguente. I campi precedentemente accessibili tramite queste autorizzazioni non verranno più restituiti e le API restituiranno valori vuoti.
| Autorizzazioni profilo estese | Autorizzazioni azioni utente | API |
|---|---|---|
|
| Taggable Friends |
|
| All Mutual Friends |
|
| |
|
| |
|
| |
|
| |
| ||
|
Leggi il post sul blog del 4 aprile 2018 per ulteriori informazioni.
L'autorizzazione publish_actions è stata dichiarata obsoleta a partire dal 24 aprile 2018. Le app create prima di questa data precedentemente approvate per la richiesta publish_actions possono continuare a farlo fino al 1 agosto 2018. Se utilizzavi publish_actions, è consigliabile passare alle finestre di dialogo di condivisione di Facebook per Web, iOS e Android. (Leggi il post sul blog del 1 maggio 2018).
Le seguenti autorizzazioni non possono più essere richieste a partire dal 1 maggio 2018 e saranno dichiarate obsolete a partire dall'8 gennaio 2019 per app e siti Web che hanno ottenuto l'approvazione prima del 1 maggio 2018:
timezonelocalecoveris_verifiedupdated_timeverifiedcurrencydevicesthird_party_id
Vedi il post sul blog del 1 maggio 2018.
Puoi visualizzare l'elenco completo delle autorizzazioni nel Riferimento Autorizzazioni.
Link al profilo
I link ai profili utente creati utilizzando gli ASID non funzionano più. Devi recuperare il link a un profilo dal campo user_link. Questi link non funzioneranno se l'utente non ha usato la tua app o il tuo sito Web negli ultimi 90 giorni o se l'utente ha rifiutato di concedere l'autorizzazione user_link alla tua app. Dopo la migrazione all'API Graph v3.0, questo campo sarà disponibile solo se l'app richiede e l'utente approva l'autorizzazione.
Lo user_link verrà risolto solo sul profilo Facebook corrente dell'utente per gli utenti che hanno effettuato l'accesso nella rete estesa di tale utente (attualmente definiti come amici di amici, ma questa definizione è soggetta a modifiche). Altre persone possono avere solo l'opportunità di inviare una richiesta di amicizia o di messaggio.
Leggi il post sul blog del 19 aprile 2018 che descrive queste modifiche.
Token d'accesso
Rinnovo dei token d'accesso
L'accesso della tua applicazione ai dati dell'utente ora scade dopo 90 giorni, a meno che Facebook non sia in grado di verificare l'attività nella tua app. Su alcune piattaforme, come i giochi Web di Facebook, tutte le attività degli utenti possono essere verificabili, mentre su altre piattaforme, come iOS, gli utenti potrebbero dover autorizzare nuovamente l'accesso ai dati dell'applicazione accettando le autorizzazioni in una finestra di dialogo Accedi ogni 90 giorni. Leggi il post sul blog del 9 aprile 2018.
Assicurati che le tue app/i tuoi siti Web abbiano un flusso di ri-autorizzazione uniforme per gli utenti i cui token d'accesso sono scaduti. Puoi trovare maggiori informazioni sull'aggiornamento dei token d'accesso ai token in Aggiornamento dei token d'accesso degli utenti
Scadenza dei token
Abbiamo chiarito la differenza tra i visitatori che non hanno mai effettuato l'accesso e gli utenti con token d'accesso scaduti, in modo che gli sviluppatori possano mostrare l'interfaccia utente più appropriata per ogni situazione. Per le app che utilizzano l'SDK JavaScript, FB.getLoginStatus() consente di determinare lo stato in cui si trova un utente e ora restituisce un nuovo stato, authorization_expired, per indicare che il token di un utente è scaduto. Questo nuovo stato è diverso dallo stato not_authorized che otterrai per gli utenti che non hanno stabilito una connessione alla tua app tramite Facebook Login. Per questo nuovo stato scaduto, potresti ricordare alla persona che ha precedentemente effettuato l'accesso con Facebook e chiedergli di eseguire nuovamente la procedura di accesso per aggiornare l'account con le informazioni più aggiornate.
Gli sviluppatori hanno inoltre a disposizione un nuovo modo di testare la scadenza dei token in app e siti Web. Per ogni utente test creato per la tua app, potrai scegliere il periodo di tempo prima della scadenza dei token d'accesso. Se scegli di utilizzare un periodo di scadenza personalizzato, puoi impostare l'intervallo pari a un minuto o molto più lungo, se necessario per le finalità di test dell'app. Questa impostazione è disponibile nel menu Modifica per ogni utente test e si applica a tutte le app o ai siti Web utilizzati dall'utente test.
Per l'SDK JavaScript, verrà presto aggiunto un nuovo campo all'oggetto authResponse chiamato reauthorize_required_in. Ciò offre agli sviluppatori che lavorano con token di breve durata la possibilità di sapere quando scadrà l'autorizzazione dell'app di 90 giorni di un dato utente. Se desideri prolungare in modo proattivo la sessione dell'utente di altri 90 giorni, puoi chiamare login() con il parametro auth_type=reauthorize, che chiederà all'utente di accettare nuovamente le autorizzazioni attualmente concesse alla tua app per poter continuare.
Questi aggiornamenti sono stati annunciati in un post sul blog il 1 maggio 2018.
HTTPS necessario
Una nuova impostazione Applica HTTPS per Facebook Login è ora disponibile nella dashboard gestione app. Quando è attivata, richiede che tutti i reindirizzamenti di Facebook Login utilizzino HTTPS e che tutte le chiamate dell'SDK JavaScript di Facebook che restituiscono o richiedono un token d'accesso provengano solo da pagine HTTPS. Leggi il post sul blog dell'8 giugno 2018.
Tutte le nuove app create a partire da marzo 2018 devono già utilizzare questa impostazione e le app e i siti Web esistenti che utilizzano Facebook Login hanno tempo fino al 6 ottobre 2018 per l'attivazione prima che l'opzione venga automaticamente abilitata. Tutti gli URI di reindirizzamento non sicuri o le Pagine che effettuano chiamate di Login o API con l'SDK JavaScript da pagine HTTP cesseranno di funzionare dopo tale data.
Integrazioni aziendali
"Integrazioni aziendali" viene visualizzato come un elenco distinto di servizi separati dalle app nelle impostazioni dell'account di un utente. Si tratta di servizi che gli utenti hanno connesso al proprio account Facebook e per i quali hanno concesso autorizzazioni speciali per gestire Pagine, azioni, annunci o messaggi della Pagina. Il tuo accesso alle API aziendali continuerà a funzionare come prima di questa modifica, senza scadenza, fino a quando un utente di Facebook non rimuoverà l'integrazione alla pagina, all'account pubblicitario, all'evento, ecc. Leggi il post sul blog del 1 maggio 2018 che descrive questa modifica.
Eliminazione dei dati personali
Se gli utenti rimuovono la tua app o il tuo sito Web dalle impostazioni di app e siti Web di Facebook, è possibile fornire loro la possibilità di richiedere che la tua app o il tuo sito Web elimini tutte le informazioni che hai ricevuto su di loro da Facebook. L'esperienza su Facebook informerà gli utenti quando hanno inviato una richiesta e quando questa è stata ricevuta dal servizio. Fornirà inoltre un numero di conferma da te fornito e un modo per verificare lo stato della richiesta. Offrire agli utenti questa opzione può aiutarti ad automatizzare le richieste del servizio clienti, dimostrare che stai gestendo le loro informazioni in modo responsabile e soddisfare i tuoi requisiti di conformità, come ad esempio quelli relativi al GDPR.
Per abilitare questa opzione, devi fornire un URL di callback al quale è possibile inviare la richiesta. Puoi aggiungere l'URL di callback nella pagina delle Impostazioni di Facebook Login della tua app nella dashboard gestione app. La callback deve utilizzare HTTPS. Vedi la documentazione per i dettagli. Leggi il post sul blog del 25 maggio 2018.
Informazioni di contatto del funzionario per la protezione dei dati
Ora hai a disposizione un modo per fornire facilmente le informazioni di contatto dei tuoi DPO agli utenti europei. Vai alla pagina delle Impostazioni di Facebook Login della tua app nella dashboard gestione app per aggiungere il nome del DPO (opzionale), l'indirizzo postale e l'indirizzo e-mail. Queste informazioni saranno rese disponibili nelle impostazioni di app e sito Web degli utenti, in modo che possano contattare il DPO in caso di domande su come vengano trattati e utilizzati i loro dati. Leggi il post sul blog del 25 maggio 2018.
Modalità sviluppo
Per le app in modalità sviluppo, le chiamate API restituiranno i dati dell'utente solo per coloro che hanno un ruolo nell'app (ad esempio, amministratore, sviluppatore o tester). Questo vale per il profilo Facebook, le Pagine e altre API. Leggi il post sul blog del 24 aprile 2018.
Le app in modalità sviluppo ora sono limitate a 200 chiamate all'ora per coppia di Pagina-app e possono accedervi solo gli utenti che hanno un ruolo nell'app (amministratore, sviluppatore o tester). Puoi visualizzare i grafici relativi all'attività di rate limit della tua app nella dashboard gestione app. Gli sviluppatori e gli amministratori di app in modalità pubblica possono accedere solo alle autorizzazioni per cui è stata approvata l'app.
Si consiglia agli sviluppatori di tenere conto di queste limitazioni nello sviluppo di nuove funzioni per le loro app.
Riferimenti e strumenti importanti
- Se la tua app o il tuo sito Web è stato interessato da modifiche recenti e hai una escalation da sottoporre a Facebook, utilizza questo modulo: https://go.fb.com/2018-FB4D-platform-review-form.html.
- Per ulteriori informazioni sul processo di analisi dell'app e sulle API e autorizzazioni che devono essere sottoposte ad analisi, visita: https://developers.facebook.com/docs/apps/review.
- Lo strumento di aggiornamento API aiuta a valutare l'impatto della migrazione a livello dell'API Graph più aggiornata o più recente. Per vedere quali chiamate API della tua app saranno interessate dalle modifiche apportate alle versioni più recenti dell'API, vai all'indirizzo https://developers.facebook.com/tools/api_versioning/.
- Per verificare lo stato operativo di Facebook Login e vedere esempi del codice che puoi recuperare da Facebook Login in base alle tue autorizzazioni, accedi all'app di esempio all'indirizzo fbrell.com.
- Per seguire le ultime modifiche apportate all'API Graph:
- Registro modifiche: https://developers.facebook.com/docs/graph-api/changelog
- Modifiche sostanziali: https://developers.facebook.com/docs/graph-api/changelog/breaking-changes