Log de alterações de login do Facebook

02-07-2018

Alterações recentes no login do Facebook

O login do Facebook mudou muito nos últimos meses em um esforço para ajudar a proteger a privacidade das pessoas e dar a elas mais controle sobre suas informações. Entendemos que é desafiador se manter em dia com todas as atualizações. Para ajudar você, compilamos um resumo das alterações recentes e incluímos algumas recomendações sobre como incorporá-las.

Datas importantes

Tenha em mente os prazos a seguir para garantir que não haja problemas na operação de seu aplicativo ou site.

1º de agosto de 2018: Solicitar novamente o acesso às permissões de login do Facebook, se necessário, por meio da Análise do Aplicativo
6 de outubro de 2018: Optar por “Aplicar HTTPS” (será ativado automaticamente após essa data)
1º de novembro de 2018: Migrar para de ASID para PSID para aplicativos que usam gerenciamento de página e permissões de mensagens de bot
8 de janeiro de 2019: Fazer upgrade para a Graph API 3.0

Análise adicional necessária para algumas permissões

Para ajudar a proteger os dados das pessoas, agora estamos exigindo que um número maior de permissões passem pelo processo de Análise do Aplicativo. Para algumas permissões, também estamos exigindo verificação da empresa e um contrato entre a empresa e o Facebook. Para verificar empresas, é possível fornecer formulários de documentação, incluindo faturas de serviços, licenças corporativas, certificados de formação, artigos de incorporação, números de identificação fiscal, entre outros. O contrato apresenta outros requisitos de segurança e outras disposições sobre os dados. Saiba mais sobre o processo aprimorado de Análise do Aplicativo no tópico Análise do Aplicativo.

A tabela abaixo resume o nível de análise necessário para as permissões de login do Facebook. Verifique essa tabela frequentemente para ver alterações.

Análise do Aplicativo NÃO necessária	Análise do Aplicativo necessária	Análise do Aplicativo, Verificação da empresa e contrato necessários
`name`	`user_gender`*	`user_friends`
`email`	`user_age_range`*	`user_likes`
`profile_picture`	`user_link`* (links da página de perfil do Facebook)	`user_photos`
	`user_birthday`	`user_tagged_places`
	`user_location` (cidade atual)	`user_videos`
	`user_hometown`	`user_events`
		`user_managed_groups`
		`user_posts`

* Se ainda não tiver feito o upgrade da Graph API, recomendamos solicitar novamente essas permissões até 1º de agosto. Se o acesso for aprovado, elas continuarão disponíveis para você após o upgrade para a Graph API 3.0. As alterações presentes na Graph API 3.0 são detalhadas nesta publicação de blog de 1º de maio de 2018. Os aplicativos têm até 8 de janeiro de 2019 para fazer o upgrade para a Graph API 3.0.

Se o seu aplicativo ou site já estava usando as permissões exibidas na tabela acima antes de 1º de maio de 2018, quando a análise aprimorada começou, você terá até 1º de agosto de 2018 para solicitar novamente o acesso e garantir que poderá continuar a usá-las após essa data.

Provedores de tecnologia de terceiros

Empresas que desenvolvem usando a plataforma do Facebook para fornecer serviços a outras empresas como provedor de tecnologia de terceiros também devem assinar um contrato adicional. O contrato de provedor de tecnologia restringe o uso dos dados com o único propósito de fornecer serviços ao cliente no nome do qual os dados são coletados. Clientes grandes usando provedores de tecnologia de terceiros podem estar sujeitos à Análise do Aplicativo e podem precisar assinar os termos complementares. Provedores de tecnologia devem identificar sua empresa como fornecendo serviços a outras empresas nas configurações do Painel do Aplicativo.

APIs e permissões de login do Facebook obsoletas

Algumas permissões e alguns recursos ficaram obsoletos, conforme mostrado na tabela abaixo. Os campos antes acessíveis por meio dessas permissões não serão mais retornados, e as APIs retornarão valores vazios.

Permissões estendidas de perfil	Permissões de ações do usuário	APIs
`user_religion_politics`	`user_actions.books`	Amigos que podem ser marcados
`user_relationships`	`user_actions.fitness`	Todos os amigo em comum
`user_relationship_details`	`user_actions.music`
`user_custom_friendlists`	`user_actions.video`
`user_about_me`	`user_actions.new`
`user_education_history`	`user_games_activity`
`user_work_history`
`user_website`

Consulte a publicação do blog de 4 de abril de 2018 para ver mais informações.

A permissão publish_actions ficou obsoleta em 24 de abril de 2018. Aplicativos criados antes dessa data e que tinham sido aprovados para solicitar publish_actions continuarão podendo fazer isso até 1º de agosto de 2018. Se você estava usando publish_actions, recomendamos trocar para os Diálogos de compartilhamento para web, iOS e Android do Facebook. (Consulte a publicação do blog de 1 de maio de 2018.)

As permissões a seguir não podem mais ser solicitadas desde 1º de maio de 2018 e ficarão obsoletas em 8 de janeiro de 2019 para aplicativos e sites que obtiveram a aprovação antes de 1º de maio de 2018:

timezone
locale
cover
is_verified
updated_time
verified
currency
devices
third_party_id

Consulte a publicação do blog de 1 de maio de 2018.

A lista completa de permissões pode ser encontrada na Referência de Permissões.

Links de perfil

Os links para perfis de usuários criados usando ASIDs não funcionam mais. É necessário recuperar um link de perfil do campo user_link. Esses links não funcionarão se a pessoa não tiver usado seu aplicativo ou site em 90 dias ou se a pessoa tiver se recusado a conceder a permissão user_link a seu aplicativo. Após migrar para a Graph API 3.0, esse campo só estará disponível se o seu aplicativo solicitar e o usuário aprovar a permissão.

O user_link resolverá apenas até o perfil do Facebook do usuário para pessoas que tiverem entrado no Facebook e fizerem parte da rede estendida da pessoa (atualmente definida como amigos de amigos, mas sujeita a alterações). Talvez outros indivíduos só tenham a oportunidade de enviar uma solicitação de amizade ou de mensagem.

Consulte a publicação do blog de 19 de abril de 2018 anunciando essas alterações.

Tokens de acesso

Análise de tokens de acesso

O acesso de seu aplicativo a dados do usuário agora expira após 90 dias, a menos que o Facebook possa verificar a atividade em seu aplicativo. Em algumas plataformas, como jogos na web do Facebook, todas as atividades dos usuários poderão ser verificadas, e, em outras plataformas, como iOS, talvez os usuários precisem autorizar novamente seu aplicativo a acessar os dados aceitando permissões em uma caixa de diálogo de login a cada 90 dias. Consulte a publicação do blog de 9 de abril de 2018.

Recomendamos garantir que seus aplicativos/sites tenham um fluxo de reautorização tranquilo para pessoas cujos tokens de acesso expiraram. Saiba mais sobre a atualização de tokens de acesso em Como atualizar tokens de acesso de usuários

Expiração do token

Esclarecemos a diferença entre visitantes que nunca fizeram login e usuários com tokens de acesso expirados para que os desenvolvedores possam exibir a interface mais adequada em cada situação. Para aplicativos usando a SDK para JavaScript, o FB.getLoginStatus() permite identificar o estado em que um usuário está e agora retorna um novo status, authorization_expired, para indicar que o token do usuário expirou. Esse novo estado é diferente do estado not_authorized que você receberá em caso de usuários que não tiverem formado uma conexão com seu aplicativo via login do Facebook. Para esse novo estado de expiração, é uma boa ideia lembrar a pessoa de que ela entrou no Facebook anteriormente e solicitar que ela passe pelo fluxo de login novamente para atualizar a conta com as informações mais recentes.

Também estamos oferecendo aos desenvolvedores uma nova maneira de testar a expiração de token em seus aplicativos e sites. Para cada usuário de teste criado para seu aplicativo, você poderá escolher a duração do período antes que os tokens de acesso expirem. Se escolher um tempo de expiração personalizado, você poderá definir o intervalo por até um minuto ou muito mais tempo se necessário para seus fins específicos de teste. Você encontra essa configuração no menu Editar para cada usuário de teste, e ela se aplica a todos os aplicativo e sites usados pelo usuário de teste.

Para a SDK para JavaScript, estamos adicionando um novo campo ao objeto authResponse, chamado reauthorize_required_in. Isso dá aos desenvolvedores que estiverem trabalhando com tokens de curta duração a capacidade de saber quando a autorização de 90 dias de uma pessoa no aplicativo expirará. Se quiser estender a sessão da pessoa de maneira proativa para mais 90 dias, você poderá chamar login() com o parâmetro auth_type=reauthorize; isso solicitará que o usuário aceite as permissões atualmente concedidas a seu aplicativo novamente para continuar.

Essas atualizações foram anunciadas em uma publicação de blog em 1º de maio de 2018.

HTTPS obrigatório

Uma nova configuração Aplicar HTTPS para o login do Facebook agora está disponível no Painel do Aplicativo. Quando ativada, ela exigira que todos os redirecionamentos do login do Facebook usem HTTPS e que todas as chamadas da SDK para JavaScript do Facebook que retornarem ou exigirem um token de acesso ocorram somente a partir de páginas HTTPS. Consulte a publicação do blog de 8 de junho de 2018.

Já foi exigido que todos os aplicativos criados desde março de 2018 usem essa configuração, e os sites e aplicativos que estiverem usando o login do Facebook têm até 6 de outubro de 2018 para optar por usá-la antes que ela seja ativada automaticamente. Redirecionamentos inseguros de URIs ou páginas que fizerem chamadas de login ou API com a SDK para JavaScript a partir de páginas HTTP deixarão de funcionar após essa data.

Integrações de empresa

“Integrações de empresa” aparecem como uma lista distinta de serviços separada dos aplicativos nas configurações da conta de uma pessoa. São serviços que as pessoas conectadas a suas contas do Facebook e que tiverem permissões especiais para gerenciar páginas, eventos, anúncios ou mensagens na página. Seu acesso a APIs empresariais continuará funcionando da mesma maneira que antes da alteração, sem expirar, até que um usuário do Facebook remova a integração à página, conta de anúncios, evento, etc. Consulte a publicação do blog de 1 de maio de 2018 anunciando essa alteração.

Exclusão de dados pessoais

Se alguém remover seu aplicativo ou site das configurações de aplicativos e sites, poderemos oferecer a essa pessoa a opção de solicitar que seu aplicativo exclua todas as informações recebidas do Facebook. A experiência no Facebook informará as pessoas quando tiverem enviado uma solicitação e quando ela foi recebida por seu serviço. Ela também oferecerá um número de confirmação informado por você e uma maneira de verificar o status da solicitação. Oferecer essa opção pode ajudar você a automatizar solicitações de serviço ao cliente, demonstrar que você está manuseando as informações dos usuários de maneira responsável e ajudar a atender a seus requisitos de conformidade, como GDPR.

Para ativar esta opção, precisamos que você forneça um URL de retorno de chamada para o qual possamos enviar a solicitação. Você pode adicionar o URL de retorno de chamada na página de configurações do Login do Facebook de seu aplicativo no Painel do Aplicativo. Seu retorno de chamada deve usar HTTPS. Consulte a documentação para obter mais detalhes. Consulte a publicação do blog de 25 de maio de 2018.

Informações de contato do Oficial de proteção dos dados

Agora, estamos oferecendo uma maneira de fornecer facilmente as informações de contato de seu Oficial de proteção dos dados a usuários europeus. Acesse a página de configurações do login do Facebook de seu aplicativo no Painel do Aplicativo para adicionar o nome (opcional), endereço de correspondência e endereço de e-mail de seu Oficial de proteção dos dados. As informações serão disponibilizadas nas configurações de aplicativos e sites das pessoas para que elas possam entrar em contato com o Oficial de proteção dos dados. Consulte a publicação do blog de 25 de maio de 2018.

Modo de desenvolvimento

Para aplicativos em modo de desenvolvimento, as chamadas da API retornarão somente os dados dos usuários com uma função no aplicativo (ou seja, administrador, desenvolvedor ou testador). Isso se aplica ao perfil, páginas e outras APIs do Facebook. Consulte a publicação do blog de 24 de abril de 2018.

Aplicativos no modo de desenvolvimento agora têm um limite de 200 chamadas por hora por par de página e aplicativo e só podem acessar usuários que têm uma função no aplicativo (administrador, desenvolvedor ou testador). Veja os gráficos das atividades de limite de seu aplicativo no Painel do Aplicativo. Desenvolvedores e administradores de aplicativos em modo público só podem acessar as permissões para as quais o aplicativo foi aprovado.

Recomendamos que os desenvolvedores levem essas limitações em consideração ao desenvolver novos recursos para seus aplicativos.

Referências e ferramentas importantes

Se o seu aplicativo ou site foi afetado pelas alterações recentes, e você tiver um escalonamento para o Facebook analisar, use este formulário: https://go.fb.com/2018-FB4D-platform-review-form.html.
Para obter mais informações sobre o processo de Análise do Aplicativo e sobre as APIs e permissões que requerem análise, acesse: https://developers.facebook.com/docs/apps/review.
A Ferramenta de atualização de API ajuda a avaliar o impacto da migração no nível mais recente da Graph API. Para ver quais chamadas de API do seu aplicativo serão afetadas pelas alterações em versões mais novas da API, acesse https://developers.facebook.com/tools/api_versioning/.
Para ver o status operacional do Login do Facebook e ver exemplos do código que você pode receber de volta do Login do Facebook com base em suas permissões, navegue até o exemplo de aplicativo em fbrell.com.
Para seguir as alterações mais recentes à Graph API:
- Log de alterações: https://developers.facebook.com/docs/graph-api/changelog
- Alterações urgentes: https://developers.facebook.com/docs/graph-api/changelog/breaking-changes