Facebook 登录更新日志

2018 年 7 月 2 日

Facebook 登录的近期更改

我们致力于帮助保护用户的隐私,让他们可以更多地管理自己的信息,因此,在过去的几个月中,我们对 Facebook 登录做了很多更改。我们明白,了解所有更新内容并不容易。为此,我们汇总了近期更改内容的摘要以及对纳入这些内容的建议。

关键日期

请记住下列截止日期,这有助确保您的应用或网站顺利运行。

  • 2018 年 8 月 1 日:如有必要,通过应用审核重新请求访问 Facebook 登录权限
  • 2018 年 10 月 6 日:选择启用“强制执行 HTTPS”(将在此日期之后自动启用)
  • 2018 年 11 月 1 日:使用网页管理和智能助手消息权限的应用将从 ASID 迁移到 PSID
  • 2019 年 1 月 8 日:升级至图谱 API v.3.0

某些权限需要额外审核

为了帮助保护用户的数据,我们现在要求更多权限必须通过应用审核流程。对于某些权限,我们还要求进行公司验证,并提供您公司与 Facebook 订立的合同。公司验证可以通过提供文档表单来执行,包括水电费账单、营业执照、公司注册证明、公司章程、税号等。合同中有安全方面的补充规定和其他关于数据的条款。您可以在应用审核主题中了解更多有关增强应用审核流程的信息。

下表总结了不同 Facebook 登录权限所需的审核等级。请经常查看此表的更新内容。

无需应用审核需要应用审核需要应用审核、公司验证及合同

name

user_gender*

user_friends

email

user_age_range*

user_likes

profile_picture

user_link*(Facebook 个人主页的网页链接)

user_photos

user_birthday

user_tagged_places

user_location(所在地)

user_videos

user_hometown

user_events

user_managed_groups

user_posts

*如果您还没有升级到图谱 API,我们建议您在 8 月 1 日前重新请求这些权限。如果获准访问,您可以在升级到图谱 API v3.0 后继续使用这些权限。如需有关图谱 API v3.0 的更改详情,请参阅 2018 年 5 月 1 日发布的这篇博文。您的应用须于 2019 年 1 月 8 日之前升级到图谱 API v3.0。

如果您的应用或网站在 2018 年 5 月 1 日(我们的增强审核开始日期)之前已在使用上表所列权限,则您须于 2018 年 8 月 1 日之前重新请求访问权限,并确保您之后仍可继续使用这些权限。

第三方技术提供商

使用 Facebook 开放平台构建应用并以第三方技术提供商身份为其他公司服务的公司还必须签署一份附加合同。技术提供商签署的合同会限定数据仅可用于其代表数据采集方向客户提供服务这一用途。使用第三方技术提供商的大客户或须接受应用审核,并且可能需要签署补充条款。技术提供商必须在应用面板设置中指明其商业用途为向其他公司提供服务。

已停用的 Facebook 登录权限和 API

我们已经停用下表所示的特定权限和功能。系统不再返回之前使用这些权限即可访问的字段,并且 API 将返回空值。

扩展的个人主页权限用户操作权限API

user_religion_politics

user_actions.books

好友标记

user_relationships

user_actions.fitness

全部共同好友

user_relationship_details

user_actions.music

user_custom_friendlists

user_actions.video

user_about_me

user_actions.new

user_education_history

user_games_activity

user_work_history

user_website

如需了解更多信息,请参阅 2018 年 4 月 4 日发布的博文

publish_actions 权限已于 2018 年 4 月 24 日起停用。在此日期前创建且之前获准请求 publish_actions 的应用在 2018 年 8 月 1 日前仍可继续使用该权限。如果您之前使用 publish_actions,我们建议您切换到 Facebook 网页版iOS 版Android 版分享对话框。(请参阅 2018 年 5 月 1 日发布的博文。)

自 2018 年 5 月 1 日起,您将无法再请求下列权限,并且自 2019 年 1 月 8 日起,在 2018 年 5 月 1 日前获得批准的应用和网站将停用这些权限:

  • timezone
  • locale
  • cover
  • is_verified
  • updated_time
  • verified
  • currency
  • devices
  • third_party_id

请参阅 2018 年 5 月 1 日发布的博文

如需查看完整的权限列表,请参阅权限参考文档

个人主页链接

使用 ASID 构建的用户个人主页链接不再有效。您必须从 user_link 字段检索个人主页链接。如果用户在 90 天内没有使用过您的应用或网站,或者其拒绝为您的应用授予 user_link 权限,则这些链接将无效。在迁移到图谱 API v3.0 后,仅当您的应用请求这些权限并获用户批准后,此字段才可以使用。

仅当已登录个人在此用户的扩展网络(当前定义为“好友的好友”,但可能会有更改)中时,user_link 才会解析为此用户真实的 Facebook 个人主页。其他个人可能仅有机会发送好友或消息请求。

请参阅 2018 年 4 月 19 日发布的博文,其中公布了这些更改。

访问口令

更新访问口令

现在,您的应用程序对用户数据的访问权限将在 90 天后过期,除非 Facebook 能够验证您应用中的活动。在某些平台(例如 Facebook 网页游戏)上,所有用户活动可能都可验证,但在其他平台上,例如 iOS,用户可能每隔 90 天就需要在登录对话框中接受权限,以便为您的应用程序重新授予数据访问权限。请参阅 2018 年 4 月 9 日发布的博文

建议您确保您的应用/网站能够为访问口令已过期者提供顺畅的重新授权流程。如需了解有关刷新访问口令的更多信息,请参阅刷新用户访问口令

口令过期

我们已阐明从未登录过的访客与访问口令过期的用户之间的区别,以便开发者针对每种情况显示最合适的用户界面。对于使用 JavaScript SDK 的应用,FB.getLoginStatus() 使您能够确定用户所处的状态,而且现在会返回一个新状态 authorization_expired,以提示用户的口令已经过期。这个新状态不同于 not_authorized 状态。在 not_authorized 状态下,您会通过 Facebook 登录来为那些没有与您的应用建立连接的用户获取口令。对于这个新的过期状态,您可能会提醒之前使用 Facebook 登录的个人,并提示他们再次通过登录流程,使用自己的最新信息刷新帐户。

我们还会为开发者提供在其应用和网站中检测口令是否过期的新方法。对于每个为您的应用创建的测试用户,您可以选择访问口令的有效时长。如果选择使用自定义过期时间,您可以将时间间隔设置为一分钟,如果出于独立应用测试的需要,也可以设置为更长时间。您可以在每个测试用户的“编辑”菜单下找到此设置,它适用于测试用户使用的所有应用或网站。

对于 JavaScript SDK,我们将为 authResponse 对象添加一个新字段,称作 reauthorize_required_in。这样,使用短期限口令的开发者就能够知道用户的 90 天应用授权会在何时过期。如果您想主动将此用户的会话再延长 90 天,可以使用 auth_type=reauthorize 参数调用 login(),这将要求他们再次接受当前授予您应用的权限,以便继续使用。

2018 年 5 月 1 日发布的博文宣布了这些更新。

需要 HTTPS

您现在可以在应用面板中使用 Facebook 登录新添加的强制执行 HTTPS 设置。启用后,此设置将要求所有 Facebook 登录重新定向使用 HTTPS,并且所有返回或需要访问口令的 Facebook JavaScript SDK 调用只能从 HTTPS 页面进行。请参阅 2018 年 6 月 8 日发布的博文

2018 年 3 月以来创建的所有新应用都需要使用此设置,而使用 Facebook 登录的现有应用和网站在 2018 年 10 月 6 日之前均须选择加入,之后则会自动启用。在该日期后,使用来自 HTTP 页面的 JavaScript SDK 执行登录或 API 调用的任何不安全重定向 URI 或网页都会停止运行。

公司集成

“公司集成”在用户的帐户设置下显示为与应用分开的独立服务列表。用户将列表中的服务关联至其 Facebook 帐户,并授予特殊权限以管理页面、事件、广告或页面消息。您对公司 API 的访问权限将与此更改发布前一样继续有效,不会过期,直到 Facebook 用户移除与主页、广告帐户及事件等的集成为止。请参阅 2018 年 5 月 1 日发布的博文,其中公布了这些更改。

个人数据删除

如果用户从 Facebook 的应用或网站设置中移除您的应用或网站,我们可以向他们提供选项,以便其要求您的应用或网站删除您从 Facebook 收到的所有关于他们的信息。Facebook 上的体验将在用户发送请求和您的服务确认收到请求时通知他们。此外,Facebook 也会向他们提供您所提供的确认编号,以及查看其请求状态的方法。向用户提供此选项可以帮助您自动处理客户服务请求,说明您正在负责任地处理他们的信息,并且有助您遵守合规性要求,例如 GDPR 的要求。

要启用此选项,您需要向我们提供可以发送请求的回调网址。您可以在应用面板中您应用的 Facebook 登录设置页面添加该回调网址。您的回调必须使用 HTTPS。详情请参阅文档。请参阅 2018 年 5 月 25 日发布的博文

数据保护官的联系方式

我们现在为您提供一种方法,使您可以轻松向欧洲用户提供您 DPO 的联系方式。前往应用面板中您应用的 Facebook 登录设置页面,添加您 DPO 的姓名(可选)、邮寄地址和邮箱。该信息会出现在用户的应用和网站设置中,以便其在对自己数据的处理和使用方式有疑问时联系您的 DPO。请参阅 2018 年 5 月 25 日的博文

开发模式

对于处于开发模式的应用,API 调用仅会为拥有应用身份的用户(即管理员、开发者或测试者)返回用户数据。这适用于 Facebook 个人主页、主页以及其他 API。请参阅 2018 年 4 月 24 日发布的博文

现在,处于开发模式的应用流量限制为每个网页应用对每小时 200 次调用,并且仅能访问拥有应用身份的用户(管理员、开发者或测试者)。您可以在应用面板中查看应用流量限制活动的图表。对于公开模式下的应用,其开发者和管理员只能访问该应用获批准的权限。

我们建议开发者在为应用开发新功能时将这些限制考虑在内。

重要参考文档和工具