Facebook 登入變更記錄

2018 年 7 月 2 日

Facebook 登入的近期變更

由於我們致力幫助保護用戶的私隱，並且提高了用戶對自己資訊的控制權，Facebook 登入功能在過去幾個月發生了很多變更。我們明白，要掌握所有變更並不容易。為了幫助您瞭解相關資訊，我們彙整了近期所作出的變更，以及對整合這些變更的建議。

重要日期

請緊記下列截止日期，以確保您的應用程式或網站得以運作順暢。

2018 年 8 月 1 日：如有需要，請透過應用程式審查重新要求存取 Facebook 登入權限
2018 年 10 月 6 日：選擇啟用「執行 HTTPS」（在此日期後將自動啟動）
2018 年 11 月 1 日：使用網頁管理和 Bot 訊息權限從應用程式的 ASID 遷移到 PSID
2019 年 1 月 8 日：升級至 Graph API 3.0 版

獲取特定權限時需接受額外審查

為了保護用戶的數據，我們現在規定更多權限需要接受應用程式審查流程。對於某些權限，我們還規定您要接受企業驗證，以及提供您企業與 Facebook 所簽訂的合約。企業可以提供各種形式的文件來完成驗證程序，如水電費帳單、商業牌照、公司註冊證明、公司章程、稅務編號等。合約將引入額外的安全要求，以及其他有關數據的條款。您可以前往應用程式審查，以閱讀更多有關經改良應用程式審查流程的資訊。

下方的表格總結了 Facebook 登入權限所需的審查級別。請經常返回此處查看此表格的更新內容。

無需接受應用程式審查	需要接受應用程式審查	需要接受應用程式審查和企業驗證，並須簽訂合約
`name`	`user_gender`*	`user_friends`
`email`	`user_age_range`*	`user_likes`
`profile_picture`	`user_link`*（Facebook 個人檔案網頁連結）	`user_photos`
	`user_birthday`	`user_tagged_places`
	`user_location`（現居城市）	`user_videos`
	`user_hometown`	`user_events`
		`user_managed_groups`
		`user_posts`

* 如果您尚未升級至 Graph API，我們建議您在 8 月 1 日前重新要求獲取這些權限。如果已獲得存取權限，則在升級至 Graph API 3.0 版後，您仍可繼續使用這些權限。這篇網誌文章於 2018 年 5 月 1 日發佈，其中詳述了 Graph API 3.0 版所發生的變更。應用程式必須於 2019 年 1 月 8 日前升級至 Graph API 3.0 版。

如果您的應用程式或網站在 2018 年 5 月 1 日（即我們已改良審查流程生效之時）前已使用上方表格所示的權限，則您必須在 2018 年 8 月 1 日前重新要求獲得存取權限，並確保您在此之後仍可繼續使用這些權限。

第三方技術供應商

如果您使用 Facebook 開放平台建立企業，並以第三方技術供應商身份為其他企業提供服務，還亦須簽署附加合約。技術供應商合約將數據用途限制為僅出於代表數據收集方為客戶提供服務。使用第三方技術供應商的大型客戶可能需要接受應用程式審查，並且可能需要簽署補充條款。技術供應商必須在應用程式管理中心的設定中，指明其商業用途是為其他企業提供服務。

已停用的 Facebook 登入權限和 API

我們已經停用下方表格所示的一些權限和功能。系統不會再傳回之前可透過這些權限存取的欄位，而且 API 將傳回空值。

延伸的個人檔案權限	用戶動作權限	API
`user_religion_politics`	`user_actions.books`	朋友標註功能
`user_relationships`	`user_actions.fitness`	所有共同朋友
`user_relationship_details`	`user_actions.music`
`user_custom_friendlists`	`user_actions.video`
`user_about_me`	`user_actions.new`
`user_education_history`	`user_games_activity`
`user_work_history`
`user_website`

如需瞭解更多資訊，請閱讀 2018 年 4 月 4 日發佈的網誌文章。

由 2018 年 4 月 24 日起，publish_actions 權限經已停用。應用程式若於此日期前所建立，且先前已獲准要求獲取 publish_actions 權限，則可在 2018 年 8 月 1 日前繼續執行此動作。如果您之前使用過 publish_actions 權限，我們建議您切換至 Facebook 的網頁版、iOS 版和 Android 版分享對話框。（請參閱 2018 年 5 月 1 日發佈的網誌文章）。

由 2018 年 5 月 1 日起，用戶將無法再要求獲取下列權限，而且由 2019 年 1 月 8 日起，於 2018 年 5 月 1 日前獲得批准的應用程式和網站將停用這些權限：

timezone
locale
cover
is_verified
updated_time
verified
currency
devices
third_party_id

請參閱 2018 年 5 月 1 日發佈的網誌文章。

如需查看完整權限清單，請參閱權限參考資料。

個人檔案連結

使用 ASID 所建立的用戶個人檔案連結將不再有效。您必須從 user_link 欄位擷取個人檔案連結。如果用戶在 90 天內沒有使用過您的應用程式或網站，或者該用戶拒絕向您的應用程式授予 user_link 權限，則這些連結將無效。遷移至 Graph API 3.0 版後，您只能在應用程式提出要求，而且用戶批准該權限時，才可使用此欄位。

此 user_link 將僅解析為在該用戶的延伸網絡中、已登入的用戶之實際 Facebook 用戶個人檔案（當前定義為朋友的朋友，但或會有所變更）。其他用戶僅可以傳送交友邀請或訊息要求。

請參閱 2018 年 4 月 19 日發佈的網誌文章，文中已公佈這些變更。

存取憑證

更新存取憑證

現在，您應用程式對用戶數據的存取權限將在 90 天後過期，除非 Facebook 能夠驗證您應用程式中的活動。在 Facebook 網頁遊戲等平台中，所有用戶活動均可供驗證，但在 iOS 等其他平台中，用戶可能每隔 90 天就需要在登入對話框中並接受權限，以此向您的應用程式重新授予數據存取權限。請參閱 2018 年 4 月 9 日發佈的網誌文章。

若是存取憑證已過期的用戶，我們建議您確保應用程式/網站能夠提供順暢的重新授權流程。請參閱重新整理用戶存取憑證，進一步瞭解如何重新整理存取憑證

憑證過期

我們已經闡明從未登入的訪客與存取憑證過期的用戶之間的區別，以便開發人員針對每種情況展示最合適的用戶介面。若是使用 JavaScript SDK 的應用程式，FB.getLoginStatus() 讓您可以確定用戶所處的狀態，而且現在會傳回一個新狀態 authorization_expired，以提示用戶的憑證已過期。這個新狀態不同於 not_authorized 狀態。如果用戶未曾透過 Facebook 登入與您的應用程式建立聯絡，您將獲得 not_authorized 狀態。若是這個新的過期狀態，您可以提醒用戶，他們之前曾使用 Facebook 登入過此應用程式，並提示他們再次完成登入流程，以使用自己的最新資料重新整理帳戶。

我們還為開發人員提供一種新方法，讓他們可以在其應用程式和網站中測試憑證是否已過期。對於為您應用程式建立的每個測試用戶，您都可以選擇其存取憑證的有效期限。如果您選擇使用自訂過期時間，便可將間隔設定為最短一分鐘；或是在進行不重複應用程式測試時，按需要將之設定為更長時間。您可以在每個測試用戶的「編輯」選單下找到此設定；它適用於該個測試用戶所使用的所有應用程式或網站。

若是 JavaScript SDK，我們已在名為 reauthorize_required_in 的 authResponse 物件中加入一個新欄位。如此一來，使用短期憑證的開發人員便能夠知道某位用戶的 90 天應用程式授權何時會過期。如果您想主動將此用戶的作業階段再延長 90 天，您可以使用 auth_type=reauthorize 參數調用 login()，這將要求他們再次接受現時授予您應用程式的權限，以便您繼續使用。

2018 年 5 月 1 日發佈的網誌文章已公佈了這些變更。

需要使用 HTTPS

您現在可以前往應用程式管理中心，使用適用於 Facebook 登入的全新執行 HTTPS 設定。啟用後，此功能會要求所有 Facebook 登入重新導向以使用 HTTPS，而且所有傳回或需要存取憑證的 Facebook JavaScript SDK 調用都只能從 HTTPS 頁面執行。請參閱 2018 年 6 月 8 日發佈的網誌文章。

我們已要求於 2018 年 3 月起建立的所有新應用程式均須使用此設定，而且使用 Facebook 登入的現有應用程式和網站需要在 2018 年 10 月 6 日前選擇啟用此設定，之後系統便會自動啟用此設定。在此日期之後，任何使用來自 HTTP 頁面的 JavaScript SDK 執行登入或 API 調用的不安全重新導向 URI 或網頁都會停止運行。

企業整合

「企業整合」在用戶的帳戶設定下顯示為與應用程式分開的獨立服務清單。用戶將這些服務連結至他們的 Facebook 帳戶，並授予特殊權限以管理專頁、事件、廣告或專頁訊息。您的企業 API 存取權限將與公佈這項變更前的一樣，仍會繼續有效，並不會過期，直到 Facebook 用戶移除對專頁、廣告帳戶、事件等的整合為止。請參閱 2018 年 5 月 1 日發佈的網誌文章，文中已公佈這項變更。

刪除個人數據

如果用戶從 Facebook 的應用程式和網站設定中移除您的應用程式或網站，我們可以向他們提供選項，讓他們要求您的應用程式或網站刪除您從 Facebook 收到所有關於他們的資訊。Facebook 體驗會在用戶傳送要求及您的服務確認收到要求時通知他們。Facebook 還會告訴他們您提供的確認編號，以及查看要求狀態的方法。向用戶提供此選項有助您以自動化方式處理客戶服務要求，表明您以負責任的方式處理他們的資訊，並且有助您遵循合規性方面要求，例如 GDPR 的規則。

如要啟用此選項，請提供可以讓我們傳送要求的回調網址。您可以在應用程式管理中心中應用程式的 Facebook 登入設定頁面加入該回調網址。您的回調必須使用 HTTPS。詳情請參閱文件。請參閱 2018 年 5 月 25 日發佈的網誌文章。

資料保護專員聯絡資料

我們現已提供一種方法，讓您可以輕鬆將 DPO 的聯絡資料提供給歐洲用戶。前往應用程式管理中心中應用程式的 Facebook 登入設定頁面，加入您 DPO 的姓名（可選）、郵寄地址和電郵地址。用戶將可在應用程式和網頁的設定中查看這些資訊，以便他們在對自己數據的處理和使用方式有疑問時聯絡您的 DPO。請參閱 2018 年 5 月 25 日發佈的網誌文章。

開發模式

若是處於開發模式的應用程式，API 調用僅會為擁有應用程式角色的用戶（即管理員、開發人員或測試者）傳回用戶數據。這適用於 Facebook 個人檔案、專頁及其他 API。請參閱 2018 年 4 月 24 日發佈的網誌文章。

處於開發模式的應用程式現時傳輸率限制為每個網頁-應用程式組合每小時 200 次調用，並且僅能存取擁有應用程式角色的用戶（管理員、開發人員或測試者）。您可以在應用程式管理中心內，查看應用程式的限速活動圖表。若是處於公開模式的應用程式，其開發人員和管理員只能存取應用程式獲批准的權限。

我們建議開發人員在為應用程式開發新功能時將這些限制納入考慮範圍當中。

重要參考資料和工具

如果您的應用程式或網站受到近期變更的影響，並且需要上報至 Facebook 以供審查，請使用此表格：https://go.fb.com/2018-FB4D-platform-review-form.html。
如需進一步瞭解應用程式審查流程及需要接受審查的 API 和權限，請瀏覽：https://developers.facebook.com/docs/apps/review。
API 更新工具有助您評估遷移對近期和最新 Graph API 級別的影響。如要查看應用程式的哪些 API 調用會受到新版 API 變更的影響，請前往 https://developers.facebook.com/tools/api_versioning/。
如要查看 Facebook 登入的運行狀態，並查看根據您的權限可以從 Facebook 登入獲取的代碼範例，請前往 fbrell.com 的範例應用程式。
如要追蹤 Graph API 的最新變更：
- 變更記錄：https://developers.facebook.com/docs/graph-api/changelog
- 重大變更：https://developers.facebook.com/docs/graph-api/changelog/breaking-changes