Nhật ký thay đổi tính năng Đăng nhập Facebook

07-02-2018

Những thay đổi gần đây của tính năng Đăng nhập Facebook

Facebook Login has changed a lot in the past few months as we work to help protect people's privacy and give them greater control over their information. Chúng tôi nhận ra rằng việc nắm bắt tất cả nội dung cập nhật có thể là một thách thức không nhỏ. Để giúp mọi thứ dễ dàng hơn, chúng tôi đã tổng hợp bản tóm tắt về các thay đổi gần đây, cùng với những đề xuất nhằm tích hợp các thay đổi này.

Các ngày quan trọng

Hãy lưu ý đến những thời hạn sau để đảm bảo ứng dụng hoặc trang web của bạn hoạt động trơn tru.

Ngày 1/8/2018: Yêu cầu lại quyền truy cập vào các quyền Đăng nhập Facebook, nếu cần, thông qua quy trình Xét duyệt ứng dụng
Ngày 6/10/2018: Chọn "Thực thi HTTPS" (sẽ được bật tự động sau ngày này)
Ngày 1/11/2018: Chuyển từ ASID sang PSID cho các ứng dụng dùng quyền quản lý trang và quyền nhắn tin qua bot
Ngày 8/1/2019: Nâng cấp lên API Đồ thị phiên bản 3.0

Bắt buộc xét duyệt bổ sung đối với các quyền nhất định

Để bảo vệ dữ liệu của mọi người, chúng tôi đang yêu cầu tăng số lượng quyền phải trải qua quy trình Xét duyệt ứng dụng. Đối với một số quyền nhất định, chúng tôi cũng đang yêu cầu xác minh doanh nghiệp, đồng thời phải có hợp đồng giữa doanh nghiệp và Facebook. Bạn có thể xác minh doanh nghiệp bằng cách cung cấp các mẫu giấy tờ bao gồm hóa đơn tiện ích, giấy phép kinh doanh, giấy chứng nhận thành lập, điều lệ công ty, mã số thuế và những giấy tờ khác. Hợp đồng sẽ đưa vào các yêu cầu bảo mật bổ sung và những điều khoản khác về dữ liệu. Bạn có thể đọc thêm về quy trình Xét duyệt ứng dụng nâng cao trong chủ đề Xét duyệt ứng dụng.

Bảng bên dưới tóm tắt cấp độ xét duyệt cần thiết cho các quyền Đăng nhập Facebook. Hãy thường xuyên kiểm tra lại để nắm được các cập nhật của bảng này.

KHÔNG bắt buộc Xét duyệt ứng dụng	Bắt buộc Xét duyệt ứng dụng	Bắt buộc Xét duyệt ứng dụng, Xác minh doanh nghiệp và phải có hợp đồng
`name`	`user_gender`*	`user_friends`
`email`	`user_age_range`*	`user_likes`
`profile_picture`	`user_link`* (liên kết trang cá nhân Facebook)	`user_photos`
	`user_birthday`	`user_tagged_places`
	`user_location` (thành phố hiện tại)	`user_videos`
	`user_hometown`	`user_events`
		`user_managed_groups`
		`user_posts`

* Nếu chưa nâng cấp lên API Đồ thị, thì bạn nên yêu cầu lại những quyền này trước ngày 1/8. Nếu được phê duyệt quyền truy cập, thì bạn vẫn có thể dùng những quyền này sau khi nâng cấp lên API Đồ thị phiên bản 3.0. Những thay đổi của API Đồ thị phiên bản 3.0 sẽ được nêu chi tiết trong bài viết trên blog này từ ngày 1/5/2018. Các ứng dụng phải nâng cấp lên API Đồ thị phiên bản 3.0 trước ngày 8/1/2019.

Nếu ứng dụng hoặc trang web của bạn đã sử dụng các quyền trong bảng ở trên trước ngày 1/5/2018 khi chúng tôi bắt đầu quy trình xét duyệt nâng cao, thì bạn phải yêu cầu lại quyền truy cập trước ngày 1/8/2018 và đảm bảo bạn có thể tiếp tục sử dụng những quyền này sau ngày đó.

Nhà cung cấp giải pháp công nghệ của bên thứ ba

Các doanh nghiệp xây dựng bằng nền tảng Facebook để phục vụ các doanh nghiệp khác với tư cách nhà cung cấp giải pháp công nghệ của bên thứ ba cũng phải ký một bản hợp đồng bổ sung. Hợp đồng của nhà cung cấp giải pháp công nghệ sẽ giới hạn việc sử dụng dữ liệu ở mục đích duy nhất là phục vụ khách hàng thay mặt cho người có dữ liệu được thu thập. Các khách hàng lớn sử dụng nhà cung cấp giải pháp công nghệ của bên thứ ba có thể phải tuân thủ quy trình Xét duyệt ứng dụng và ký điều khoản bổ sung. Nhà cung cấp giải pháp công nghệ phải xác định vai trò của họ là cung cấp dịch vụ cho các doanh nghiệp khác trong phần cài đặt của Bảng điều khiển ứng dụng.

Quyền Đăng nhập Facebook và API không dùng nữa

Chúng tôi đã ngừng sử dụng một số quyền và tính năng như trong bảng bên dưới. Các trường trước đây có thể truy cập thông qua những quyền này sẽ không được trả về nữa và API sẽ trả về giá trị trống.

Quyền mở rộng trên trang cá nhân	Quyền hành động của người dùng	API
`user_religion_politics`	`user_actions.books`	Bạn bè có thể gắn thẻ
`user_relationships`	`user_actions.fitness`	Tất cả bạn chung
`user_relationship_details`	`user_actions.music`
`user_custom_friendlists`	`user_actions.video`
`user_about_me`	`user_actions.new`
`user_education_history`	`user_games_activity`
`user_work_history`
`user_website`

Đọc bài viết trên blog từ ngày 4/4/2018 để biết thêm thông tin.

Quyền publish_actions đã ngừng hoạt động kể từ ngày 24/4/2018. Các ứng dụng được tạo trước ngày này đã được phê duyệt để yêu cầu publish_actions trước đây có thể tiếp tục làm vậy đến ngày 1/8/2018. Nếu đang sử dụng publish_actions, thì bạn nên chuyển sang Hộp thoại chia sẻ cho web, iOS và Android của Facebook. (Hãy đọc bài viết trên blog từ ngày 1/5/2018.)

Bạn không thể yêu cầu các quyền sau kể từ ngày 1/5/2018 nữa. Những quyền này sẽ ngừng hoạt động kể từ ngày 8/1/2019 đối với các ứng dụng và trang web đã được phê duyệt trước ngày 1/5/2018:

timezone
locale
cover
is_verified
updated_time
verified
currency
devices
third_party_id

Xem bài viết trên blog từ ngày 1/5/2018.

Bạn có thể xem danh sách quyền đầy đủ trong Tài liệu tham khảo về quyền.

Liên kết trang cá nhân

Các liên kết đến trang cá nhân của người dùng được tạo bằng ASID không còn hoạt động nữa. Bạn phải truy xuất liên kết trang cá nhân từ trường user_link. Các liên kết này sẽ không hoạt động nếu người đó không dùng ứng dụng hoặc trang web của bạn trong 90 ngày hoặc nếu người đó từ chối cấp quyền user_link cho ứng dụng của bạn. Sau khi chuyển sang API Đồ thị phiên bản 3.0, trường này sẽ chỉ có sẵn nếu ứng dụng của bạn yêu cầu và người dùng phê duyệt quyền đó.

user_link sẽ chỉ phân giải đến trang cá nhân Facebook thực tế của người dùng đối với các cá nhân đã đăng nhập vào mạng mở rộng của người dùng đó (hiện được xác định là bạn của bạn bè nhưng có thể thay đổi). Các cá nhân khác chỉ có thể gửi yêu cầu kết bạn hoặc tin nhắn đang chờ.

Đọc bài viết trên blog từ ngày 19/4/2018 công bố những thay đổi này.

Mã truy cập

Gia hạn mã truy cập

Hiện tại, quyền truy cập vào dữ liệu người dùng của ứng dụng sẽ hết hạn sau 90 ngày trừ khi Facebook có thể xác minh hoạt động trong ứng dụng đó. Ở một số nền tảng như trò chơi trên web của Facebook, tất cả hoạt động của người dùng đều có thể xác minh. Còn ở một số nền tảng khác như iOS, người dùng có thể phải ủy quyền lại quyền truy cập dữ liệu của ứng dụng bằng cách chấp nhận các quyền trong hộp thoại Đăng nhập 90 ngày một lần. Hãy đọc bài viết trên blog từ ngày 9/4/2018.

Bạn nên đảm bảo rằng ứng dụng/trang web của mình có quy trình ủy quyền lại suôn sẻ cho những người có mã truy cập đã hết hạn. Hãy đọc thêm về cách làm mới mã truy cập ở phần Làm mới mã truy cập người dùng

Ngày hết hạn của mã

Chúng tôi đã nêu rõ sự khác biệt giữa khách truy cập chưa từng đăng nhập và người dùng có mã truy cập hết hạn để các nhà phát triển có thể hiển thị giao diện người dùng phù hợp nhất với mỗi trường hợp. Đối với các ứng dụng sử dụng JavaScript SDK, FB.getLoginStatus() cho phép bạn xác định trạng thái của người dùng và giờ đây sẽ trả về một trạng thái mới là authorization_expired để cho biết mã của người dùng đã hết hạn. Trạng thái mới này khác với trạng thái not_authorized mà bạn nhận được cho những người dùng không kết nối với ứng dụng của bạn qua Đăng nhập Facebook. Với trạng thái hết hạn mới này, bạn có thể nhắc người dùng là họ đã đăng nhập bằng Facebook trước đó và đề nghị thực hiện lại quy trình đăng nhập để làm mới tài khoản của họ với những thông tin mới nhất.

Chúng tôi cũng đang cung cấp một cách thức mới cho các nhà phát triển thử nghiệm ngày hết hạn của mã trong ứng dụng và trang web của họ. Với mỗi người dùng thử nghiệm được tạo cho ứng dụng, bạn có thể chọn khoảng thời gian trước khi mã truy cập hết hạn. Nếu chọn sử dụng thời gian hết hạn tùy chỉnh, thì bạn có thể đặt khoảng thời gian trong tối thiểu 1 phút hoặc lâu hơn nhiều (nếu cần) cho mục đích thử nghiệm ứng dụng duy nhất của mình. Bạn có thể tìm thấy cài đặt này trong menu Chỉnh sửa đối với mỗi người dùng thử nghiệm. Cài đặt này sẽ áp dụng cho tất cả ứng dụng hoặc trang web mà người dùng thử nghiệm sử dụng.

Với JavaScript SDK, chúng tôi sẽ thêm một trường mới vào đối tượng authResponse gọi là reauthorize_required_in. Trường này giúp các nhà phát triển sử dụng mã ngắn hạn có thể biết được khi nào quy trình ủy quyền ứng dụng trong 90 ngày của người dùng sẽ hết hạn. Nếu muốn chủ động gia hạn phiên ủy quyền của người đó thêm 90 ngày, thì bạn có thể gọi login() với thông số auth_type=reauthorize. Thông số này sẽ yêu cầu người dùng chấp nhận lại các quyền hiện được cấp cho ứng dụng để tiếp tục ủy quyền.

Những cập nhật này đã được công bố trong một bài viết trên blog vào ngày 1/5/2018.

Yêu cầu HTTPS

Một cài đặt Thực thi HTTPS mới cho tính năng Đăng nhập Facebook hiện có sẵn trong Bảng điều khiển ứng dụng. Khi được bật, cài đặt này yêu cầu tất cả hoạt động chuyển hướng Đăng nhập Facebook đều phải sử dụng HTTPS, đồng thời mọi lệnh gọi Facebook JavaScript SDK trả về hoặc yêu cầu mã truy cập đều chỉ được diễn ra trên trang HTTPS. Hãy đọc bài viết trên blog từ ngày 8/6/2018.

Chúng tôi đã yêu cầu tất cả các ứng dụng mới được tạo từ tháng 3/2018 đều phải sử dụng cài đặt này. Các ứng dụng và trang web hiện có đang sử dụng tính năng Đăng nhập Facebook phải bật cài đặt này trước ngày 6/10/2018. Nếu không, cài đặt này sẽ được bật tự động. Mọi trang hoặc URI chuyển hướng không an toàn thực hiện lệnh gọi API hoặc Đăng nhập bằng JavaScript SDK từ các trang HTTP đều ngừng hoạt động sau ngày đó.

Dịch vụ tích hợp doanh nghiệp

"Dịch vụ tích hợp doanh nghiệp" là danh sách các dịch vụ riêng biệt không liên quan đến ứng dụng trong phần cài đặt tài khoản của người dùng. Đây là những dịch vụ giúp mọi người kết nối với tài khoản Facebook của họ và cấp các đặc quyền để quản lý trang, sự kiện, quảng cáo hoặc nhắn tin trên trang. Bạn vẫn có quyền truy cập vào API kinh doanh như trước khi có thay đổi này, mà không bị hết hạn, cho đến khi người dùng Facebook gỡ dịch vụ tích hợp khỏi trang, tài khoản quảng cáo, sự kiện, v.v. Hãy đọc bài viết trên blog từ ngày 1/5/2018 công bố sự thay đổi này.

Xóa dữ liệu cá nhân

Nếu người dùng gỡ ứng dụng hoặc trang web của bạn khỏi cài đặt ứng dụng và trang web của Facebook, thì chúng tôi có thể cung cấp cho họ tùy chọn yêu cầu ứng dụng hoặc trang web đó xóa hết thông tin mà bạn nhận được về họ từ Facebook. Trải nghiệm trên Facebook sẽ thông báo cho người dùng khi họ gửi yêu cầu và khi dịch vụ của bạn xác nhận yêu cầu đó. Người dùng cũng sẽ nhận được một số xác nhận do bạn cung cấp và cách để kiểm tra trạng thái yêu cầu của họ. Với tùy chọn này, mọi người có thể giúp bạn tự động hóa các yêu cầu dịch vụ của khách hàng, cho thấy rằng bạn đang xử lý thông tin của họ một cách có trách nhiệm, đồng thời giúp đáp ứng những yêu cầu tuân thủ của bạn, chẳng hạn như đối với Quy định chung về bảo vệ dữ liệu (GDPR).

Để bật tùy chọn này, bạn cần cung cấp cho chúng tôi URL gọi lại để chúng tôi có thể gửi yêu cầu. Bạn có thể thêm URL gọi lại ở trang Cài đặt Đăng nhập Facebook của ứng dụng trong bảng điều khiển ứng dụng. Lệnh gọi lại của bạn phải sử dụng HTTPS. Xem tài liệu để biết thông tin chi tiết. Hãy đọc bài viết trên blog từ ngày 25/5/2018.

Thông tin liên hệ của nhân viên bảo vệ dữ liệu (DPO)

Chúng tôi hiện đem đến cho bạn một cách thức dễ dàng để cung cấp thông tin liên hệ của DPO cho người dùng tại châu Âu. Hãy đi tới trang Cài đặt Đăng nhập Facebook của ứng dụng trong bảng điều khiển ứng dụng để thêm tên (không bắt buộc), địa chỉ gửi thư và địa chỉ email của DPO. Thông tin này sẽ được cung cấp trong phần cài đặt ứng dụng và trang web của người dùng để họ có thể liên hệ với DPO nếu có câu hỏi về cách dữ liệu của họ được xử lý và sử dụng. Hãy đọc bài viết trên blog từ ngày 25/5/2018.

Chế độ phát triển

Đối với ứng dụng ở chế độ phát triển, lệnh gọi API sẽ chỉ trả về dữ liệu người dùng cho những người có vai trò trong ứng dụng (tức là: quản trị viên, nhà phát triển hoặc người dùng thử). Điều này áp dụng với cả Trang, Trang cá nhân Facebook và các API khác. Hãy đọc bài viết trên blog từ ngày 24/4/2018.

Ứng dụng ở chế độ phát triển hiện có giới hạn tốc độ là 200 lệnh gọi mỗi giờ, trên mỗi cặp trang - ứng dụng và chỉ có thể truy cập được người dùng có vai trò trên ứng dụng (quản trị viên, nhà phát triển hoặc người dùng thử). Xem biểu đồ về hoạt động giới hạn tốc độ của ứng dụng trên bảng điều khiển ứng dụng. Nhà phát triển và Quản trị viên của ứng dụng ở chế độ công khai chỉ có thể truy cập những quyền mà ứng dụng đó đã được phê duyệt.

Các nhà phát triển nên xem xét những giới hạn này khi phát triển tính năng mới cho ứng dụng của mình.

Tài liệu tham khảo và công cụ quan trọng

Nếu ứng dụng hoặc trang web của bạn bị ảnh hưởng bởi các thay đổi gần đây và bạn có vấn đề cần Facebook xét duyệt, vui lòng sử dụng mẫu sau: https://go.fb.com/2018-FB4D-platform-review-form.html.
Để biết thêm thông tin về quy trình Xét duyệt ứng dụng cũng như các API và quyền yêu cầu xét duyệt, hãy truy cập: https://developers.facebook.com/docs/apps/review.
Công cụ cập nhật API giúp đánh giá tác động của việc chuyển đổi sang Cấp độ API Đồ thị gần đây hoặc mới nhất. Để xem lệnh gọi API nào của ứng dụng sẽ bị ảnh hưởng bởi các thay đổi trong phiên bản API mới hơn, hãy truy cập https://developers.facebook.com/tools/api_versioning/.
Để kiểm tra tình trạng hoạt động của tính năng Đăng nhập Facebook và xem ví dụ về mã mà bạn có thể nhận lại từ tính năng Đăng nhập Facebook dựa trên quyền của mình, hãy chuyển đến ứng dụng mẫu tại fbrell.com.
Cách theo dõi các thay đổi mới nhất của API Đồ thị:
- Nhật ký thay đổi: https://developers.facebook.com/docs/graph-api/changelog
- Các thay đổi quan trọng: https://developers.facebook.com/docs/graph-api/changelog/breaking-changes