Журнал изменений

    Журнал изменений функции «Вход через Facebook»

    02.07.2018

    Недавние изменения в функции «Вход через Facebook»

    В результате продолжающейся работы над защитой конфиденциальности пользователей и расширением их возможностей контроля данных в функцию «Вход через Facebook» за последние несколько месяцев было внесено немало изменений. Мы понимаем, что уследить за всеми новшествами нелегко. Поэтому мы составили сводку недавних изменений с рекомендациями по их внедрению.

    Ключевые даты

    Чтобы работа вашего приложения или сайта не нарушилась, необходимо выполнить ряд действий в указанные ниже сроки.

    • 1 августа 2018 г. При необходимости повторно запросите разрешения на «Вход через Facebook» посредством проверки приложения.
    • 6 октября 2018 г. До этой даты вы можете включить использование HTTPS самостоятельно. После нее оно включится автоматически.
    • 1 ноября 2018 г. Переведите приложения, использующие разрешения на управление страницей и обмен сообщениями с ботом, с ID пользователя внутри приложения на ID пользователя в пределах страницы.
    • 8 января 2019 г. Выполните обновление до API Graph версии 3.0.

    Дополнительная проверка для получения некоторых разрешений

    Чтобы защитить данные пользователей, мы расширили набор разрешений, требующих прохождения приложением проверки. Для некоторых разрешений также требуется проверка компании и заключение договора между вашей компанией и Facebook. Для прохождения проверки компании необходимо предоставить ряд документов, включая счет на оплату коммунальных услуг, лицензию на ведение коммерческой деятельности, свидетельство о регистрации, учредительный договор, идентификационный номер налогоплательщика и другие. В договоре закрепляются дополнительные требования к безопасности и другие условия использования данных. Подробнее об усовершенствованном процессе проверки приложения см. в разделе Проверка приложения.

    В таблице ниже можно узнать, какой уровень проверки требуется для тех или иных разрешений на «Вход через Facebook». Информация в этой таблице периодически меняется.

    Проверка приложения НЕ требуетсяТребуется проверка приложенияТребуются проверка приложения, проверка компании и договор

    name

    user_gender *

    user_friends

    email

    user_age_range *

    user_likes

    profile_picture

    user_link * (ссылки на страницы профилей Facebook)

    user_photos

    user_birthday

    user_tagged_places

    user_location (город проживания)

    user_videos

    user_hometown

    user_events

    user_managed_groups

    user_posts

    * Если вы еще не перешли на использование API Graph, мы рекомендуем повторно запросить эти разрешения до 1 августа. Если доступ будет одобрен, они останутся доступны вам после обновления до API Graph версии 3.0. Об изменениях в API Graph версии 3.0 рассказывает эта запись в блоге от 1 мая 2018 г. Приложения необходимо перевести на использование API Graph версии 3.0 до 8 января 2019 г.

    Если ваше приложение или сайт уже использовали представленные в таблице разрешения до 1 мая 2018 г., когда была введена усовершенствованная процедура проверки, необходимо повторно запросить доступ до 1 августа 2018 г., чтобы эти разрешения можно было использовать и далее.

    Сторонние поставщики технических услуг

    Компании, которые разрабатывают решения на платформе Facebook в качестве сторонних поставщиков технических услуг для других компаний, должны подписать дополнительный договор. Он предусматривает использование данных только в целях обслуживания клиентов, от имени которых эти данные собираются. Для крупных клиентов, пользующихся услугами сторонних поставщиков, может потребоваться проверка приложения и подписание дополнительных условий. Поставщику технических услуг необходимо указать, что он предоставляет услуги другим компаниям, на панели приложений.

    Упраздненные разрешения и API «Входа через Facebook»

    Мы упразднили некоторые разрешения и функции, представленные в таблице ниже. Вместо полей, доступ к которым можно было получить посредством этих разрешений, API возвращают пустые значения.

    Расширенные разрешения на доступ к профилюРазрешения на выполнение действий пользователемAPI

    user_religion_politics

    user_actions.books

    Taggable Friends

    user_relationships

    user_actions.fitness

    All Mutual Friends

    user_relationship_details

    user_actions.music

    user_custom_friendlists

    user_actions.video

    user_about_me

    user_actions.new

    user_education_history

    user_games_activity

    user_work_history

    user_website

    Подробнее см. в записи в блоге от 4 апреля 2018 г.

    Разрешение publish_actions было упразднено 24 апреля 2018 г. Приложения, которые были созданы до этой даты и для которых был одобрен запрос разрешения publish_actions, могут запрашивать его до 1 августа 2018 г. Если вы использовали разрешение publish_actions, мы рекомендуем перейти на диалог «Поделиться» Facebook для браузеров, iOS и Android. (См. запись в блоге от 1 мая 2018 г.)

    Следующие разрешения нельзя запрашивать с 1 мая 2018 г. Для приложений и сайтов, для которых они были одобрены до 1 мая 2018 г., они будут упразднены 8 января 2019 г.:

    • timezone
    • locale
    • cover
    • is_verified
    • updated_time
    • verified
    • currency
    • devices
    • third_party_id

    См. запись в блоге от 1 мая 2018 г.

    Полный список разрешений см. здесь.

    Ссылки на профили

    Ссылки на профили пользователей, сформированные с использованием ID пользователя внутри приложения, больше не работают. Ссылку на профиль необходимо получать из поля user_link. Такие ссылки не будут работать, если пользователь не взаимодействовал с вашим приложением или сайтом в течение 90 дней или отказался предоставлять приложению разрешение user_link. После перехода на API Graph версии 3.0 это поле будет доступно, только если приложение запросило данное разрешение и пользователь одобрил его.

    Поле user_link разрешается в профиль Facebook пользователя только для тех, кто выполнил вход в расширенной сети этого пользователя (в настоящее время такой круг лиц называется друзьями друзей, но это определение может измениться). Другие пользователи могут отправлять только запросы на добавление в друзья и запросы на переписку.

    Об этих изменениях сообщалось в блоге 19 апреля 2018 г.

    Маркеры доступа

    Обновление маркеров доступа

    Доступ приложения к данным пользователей теперь истекает через 90 дней, если за это время мы не зарегистрировали действий в приложении. На некоторых платформах, например в веб-играх Facebook, все действия пользователей могут проверяться, а на других, таких как iOS, от пользователей может требоваться повторно предоставлять приложению доступ к данным каждые 90 дней. Для этого им необходимо принять разрешения в диалоге «Вход». См. запись в блоге от 9 апреля 2018 г.

    Мы рекомендуем реализовать в приложении или на сайте удобную процедуру повторной авторизации для пользователей с истекшими маркерами доступа. Подробнее об обновлении маркеров доступа см. в этой статье.

    Окончание срока действия маркеров

    Мы установили четкую разницу между посетителями, которые еще ни разу не выполняли вход, и пользователями, срок действия маркеров доступа которых истек. Это позволяет разработчикам предоставлять пользовательский интерфейс, наиболее подходящий ситуации. Если приложение использует SDK для JavaScript, состояние пользователя можно определить с помощью функции FB.getLoginStatus(). Теперь она возвращает новый статус authorization_expired, указывающий на то, что срок действия маркера пользователя истек. Он отличается от статуса not_authorized, возвращаемого для пользователей, которые не подключились к приложению с помощью «Входа через Facebook». В случае получения этого нового статуса вы можете напомнить пользователю о том, что он ранее выполнял вход через Facebook, и предложить ему войти повторно, чтобы обновить информацию в аккаунте.

    Мы также предоставляем разработчикам новый способ, позволяющий тестировать срок действия маркеров в приложениях и на сайтах. Для каждого тестового пользователя приложения можно выбрать срок действия маркера доступа. Для тестирования приложения можно задать индивидуально настроенный срок действия длительностью в одну минуту или гораздо больше. Эта настройка находится в меню «Редактировать» для каждого тестового пользователя и применяется ко всем его приложениям и сайтам.

    В SDK для JavaScript мы добавляем новое поле reauthorize_required_in в объект authResponse. С его помощью разработчики, работающие с краткосрочными маркерами, могут узнать, когда истечет авторизация приложения сроком 90 дней. Если вы хотите заранее продлить сеанс пользователя еще на 90 дней, можно вызвать login() с параметром auth_type=reauthorize. Пользователю будет предложено подтвердить текущие разрешения, предоставленные приложению, чтобы продолжить работу.

    Об этих нововведениях сообщалось в блоге 1 мая 2018 г.

    Обязательное использование HTTPS

    На панели приложений доступна новая настройка для «Входа через Facebook»: Требовать HTTPS. Если она включена, для перенаправления в функцию «Вход через Facebook» всегда должен использоваться протокол HTTPS, а все вызовы SDK Facebook для JavaScript, возвращающие маркер доступа или требующие его применения, должны осуществляться только со страниц с включенным HTTPS. См. запись в блоге от 8 июня 2018 г.

    Эта настройка является обязательной для всех приложений, создаваемых с марта 2018 г. Для существующих приложений и сайтов, использующих «Вход через Facebook», ее можно включить самостоятельно до 6 октября 2018 г. После этого она будет включена автоматически. После этой даты все незащищенные URI перенаправления и страницы HTTP, выполняющие вызовы API или вызовы для входа с помощью SDK для JavaScript, работать не будут.

    Бизнес-интеграции

    Помимо списка приложений, в настройках аккаунта пользователя теперь имеется отдельный список сервисов «Бизнес-интеграции». Это сервисы, которые человек подключил к своему аккаунту Facebook и которым предоставил специальные разрешения на управление Страницами, мероприятиями, рекламой и сообщениями. Ваш доступ к API для бизнеса после этого изменения сохранится до тех пор, пока пользователь Facebook не отменит интеграцию со Страницей, рекламным аккаунтом, мероприятием и т. д. Об этом изменении сообщалось в блоге 1 мая 2018 г.

    Удаление персональных данных

    Когда пользователь удаляет ваше приложение или сайт из списка Приложения и сайты в настройках Facebook, мы можем предоставить ему возможность запросить удаление всей информации о нем, которую это приложение или сайт получили от Facebook. В интерфейсе Facebook пользователь может узнать, когда запрос был отправлен и когда он был утвержден вами. Он также получает предоставленный вами номер подтверждения и может проверить статус запроса. Это позволяет автоматизировать обработку запросов в службу поддержки клиентов, продемонстрировать ваше ответственное отношение к обработке информации и обеспечить выполнение нормативных требований, таких как требования регламента GDPR.

    Чтобы мы могли включить эту возможность, вам необходимо предоставить нам URL обратного вызова, на который мы сможем отправлять запросы. Добавить его можно на панели приложений на странице настроек «Входа через Facebook» для вашего приложения. Для обратного вызова необходимо использовать протокол HTTPS. Подробнее см. здесь. См. также запись в блоге от 25 мая 2018 г.

    Контактная информация уполномоченного по защите данных

    Мы предлагаем вам возможность легко указать контактную информацию вашего уполномоченного по защите данных для пользователей в Европе. Чтобы добавить его имя (необязательно), почтовый и электронный адрес, перейдите на страницу настроек «Входа через Facebook» для вашего приложения на панели приложений. Эта информация будет доступна в настройках приложений и сайтов пользователей. С ее помощью люди смогут обратиться к вашему уполномоченному по защите данных, если у них возникнут вопросы относительно способов обработки и использования данных. См. запись в блоге от 25 мая 2018 г.

    Режим разработки

    Если приложение находится в режиме разработки, вызовы API возвращают данные только для тех пользователей, которым назначена роль в приложении (администратор, разработчик или тестировщик). Это относится к API Facebook Profile, API Pages и другим API. См. запись в блоге от 24 апреля 2018 г.

    Для приложений в режиме разработки теперь действует ограничение в 200 вызовов в час на каждую пару приложения и Страницы. Доступ к ним теперь имеют только пользователи с ролями (администратор, разработчик или тестировщик). Просмотреть графики ограничения количества обращений в своем приложении вы можете на панели приложений. Разработчикам и администраторам приложений в режиме открытого доступа доступны только те разрешения, которые были одобрены для приложения.

    Мы рекомендуем учитывать эти ограничения при разработке новых функций приложения.

    Важные справочные ресурсы и инструменты

    • Если в связи с недавними изменениями в вашем приложении или на вашем сайте возникла проблема, которую вы хотите передать на рассмотрение в Facebook, используйте эту форму: https://go.fb.com/2018-FB4D-platform-review-form.html.
    • Подробнее о процедуре проверки приложения, а также об API и разрешениях, для которых она требуется, см. на странице https://developers.facebook.com/docs/apps/review.
    • Инструмент обновления API помогает оценить последствия от миграции на более позднюю или последнюю версию API Graph. Чтобы узнать, на какие вызовы API приложения могут повлиять новые версии API, перейдите на страницу https://developers.facebook.com/tools/api_versioning/.
    • Чтобы проверить работоспособность функции «Вход через Facebook» и получить примеры кода, которые она может возвращать в зависимости от ваших разрешений, ознакомьтесь с образцом приложения на странице fbrell.com.
    • Информация о последних изменениях в API Graph: