「Facebook 登入」變更紀錄

2018 年 7 月 2 日

「Facebook 登入」的近期變更

「Facebook 登入」在過去幾個月內有許多變更,因為我們致力於保護用戶的隱私設定,讓他們能更好掌握個人資訊。我們理解要時時保持所有更新十分具有挑戰性。為了協助您作業,我們已統整近期變更的摘要,以及整合變更的建議。

重要日期

請牢記以下截止日期,協助確保您的應用程式或網站能夠順利運作。

  • 2018 年 8 月 1 日:如有需要,請透過應用程式審查重新要求「Facebook 登入」存取權限
  • 2018 年 10 月 6 日:選擇加入「強制使用 HTTPS」(將在此日期之後自動啟用)
  • 2018 年 11 月 1 日:將使用頁面管理和 Bot 訊息權限的應用程式從 ASID 移轉至 PSID
  • 2019 年 1 月 8 日:升級至圖形 API 3.0 版

特定權限必要的其他審查

為了協助保護用戶的資料,我們開始要求更多的權限要通過應用程式審查程序。針對特定權限,我們還需要您的企業和 Facebook 之間的企業驗證和合約。企業可提供文件表單進行驗證,包括水電帳單、營業執照、公司註冊證明、公司章程、統一編號等。合約則詳載有關資料的更多安全要求和其他規範條款。您可以在應用程式審查主題中參閱更多加強的應用程式審查程序。

下表統整「Facebook 登入」權限所需的審查程度。請經常返回查看此表格的更新。

不必進行應用程式審查必須進行應用程式審查應用程式審查、企業驗證和合約必要項目

name

user_gender*

user_friends

email

user_age_range*

user_likes

profile_picture

user_link*(Facebook 個人檔案頁面連結)

user_photos

user_birthday

user_tagged_places

user_location(現居城市)

user_videos

user_hometown

user_events

user_managed_groups

user_posts

* 若您尚未升級至圖形 API,建議您在 8 月 1 日之前重新要求這些權限。若獲准存取權限,您升級至圖形 API 3.0 版之後便可繼續使用。這篇 2018 年 5 月 1 日的部落格文章詳細說明圖形 API 3.0 版的變更。應用程式必須在 2019 年 1 月 8 日之前升級至圖形 API 3.0 版。

若您的應用程式或網站在我們的加強審查開始時,已在 2018 年 5 月 1 日之前使用上表的權限,您必須在 2018 年 8 月 1 日之前重新要求存取,並確保之後可以繼續使用。

第三方技術供應商

使用 Facebook 開放平台建構,並以第三方技術供應商服務其他企業的企業,也必須簽署其他合約。技術供應商合約限制資料用途,只能代表收集資料的人服務顧客。使用第三方技術供應商的廣大顧客群可能會受限於應用程式審查,並有可能需要簽署補充條款。技術供應商必須在應用程式主控板設定中,確認提供服務給其他企業時的商業用途。

已淘汰的「Facebook 登入」權限和 API

我們已淘汰某些權限和功能,如下表所示。先前透過這些權限存取的欄位不會再回傳,而 API 會回傳空值。

延伸個人檔案權限用戶動作權限API

user_religion_politics

user_actions.books

可標註的朋友

user_relationships

user_actions.fitness

所有共同朋友

user_relationship_details

user_actions.music

user_custom_friendlists

user_actions.video

user_about_me

user_actions.new

user_education_history

user_games_activity

user_work_history

user_website

如需詳細資訊,請參閱 2018 年 4 月 4 日的部落格文章

publish_actions 權限於 2018 年 4 月 24 日淘汰。在此日期之前建立且先前已獲准要求 publish_actions 的應用程式,可以繼續使用到 2018 年 8 月 1 日。若您當時使用 publish_actions,建議您切換至 Facebook 的 iOSAndroid網頁版「分享」對話方塊。(請參閱 2018 年 5 月 1 日的部落格文章。)

自 2018 年 5 月 1 日起,無法再要求以下權限,且從 2019 年 1 月 8 日開始,2018 年 5 月 1 日以前獲得批准的應用程式和網站權限將會淘汰:

  • timezone
  • locale
  • cover
  • is_verified
  • updated_time
  • verified
  • currency
  • devices
  • third_party_id

請查看 2018 年 5 月 1 日的部落格文章

您可以在權限參考資料中查看權限的完整清單。

個人檔案連結

使用 ASID 建構的用戶個人檔案連結再也無效。您必須從 user_link 欄位擷取個人檔案連結。若用戶在 90 天內未使用您的應用程式或網站,或用戶已拒絕授予 user_link 權限至您的應用程式,這些連結就不會有效。移轉至圖形 API 3.0 版後,只有在您的應用程式要求和用戶批准權限時才能使用此欄位。

user_link 只針對使用延伸網路登入的用戶處理實際的 Facebook 個人檔案(目前定義為朋友的朋友,不過可能會有所變更)。其他用戶可能只有機會發送交友邀請或陌生訊息。

請參閱 2018 年 4 月 19 日發佈這些變更的部落格文章

存取權杖

更新存取權杖

您應用程式的用戶資料存取權會在 90 天後到期,除非 Facebook 可以在應用程式中驗證動態。在 Facebook 網頁遊戲等部分平台上,所有用戶動態也許可驗證;在 iOS 等其他平台上,用戶可能每 90 天就要在「登入」對話方塊接受權限,才能重新授權應用程式的資料存取權。請參閱 2018 年 4 月 9 日的部落格文章

我們建議您確保應用程式/網站為存取權杖到期的用戶,提供順暢的重新授權流程。如需有關重新整理存取權杖的更多資訊,請參閱重新整理用戶存取權杖

權杖到期

我們已闡明從未登入的訪客和存取權杖到期的用戶的差異,這樣開發人員針對各個狀況可呈現最合適的用戶介面。對於使用 JavaScript SDK 的應用程式,FB.getLoginStatus() 可讓您確定用戶目前的狀態,並立刻回傳新狀態(authorization_expired),以表示用戶的權杖已到期。這個新狀態與 not_authorized 狀態不同,這是用戶透過「Facebook 登入」而未連線至應用程式所取得的狀態。若使用這個新的到期狀態,您可以提醒用戶,先前已使用 Facebook 登入,並提示他們再次進行登入流程,以重新整理帳號的最新資訊。

我們也提供開發人員能在應用程式和網站中測試權杖到期的新方式。您可以為應用程式建立的每個測試用戶,在存取權杖到期之前選擇時間長度。如果您選擇使用自訂到期時間,時間間隔最短可設定為一分鐘,或針對不重複的應用程式測試用途設定更長的時間。每個測試用戶可以在「編輯」功能表找到這項設定,其套用至測試用戶使用的所有應用程式或網站。

針對 JavaScript SDK,我們新增一個欄位至稱作 reauthorize_required_inauthResponse 物件。這讓使用短期權杖的開發人員得以知道用戶的 90 天應用程式授權的到期時間。如果您想要主動將用戶的連線階段再延長 90 天,可以使用 auth_type=reauthorize 參數呼叫 login(),這會再次要求用戶接受目前授予您應用程式的權限,以便繼續。

這些更新已在 2018 年 5 月 1 日的部落格文章發佈。

HTTPS 必要條件

「Facebook 登入」的全新強制使用 HTTPS 設定,現在可在應用程式主控板中使用。開啟時,系統需要所有「Facebook 登入」重新導向以使用 HTTPS,以及所有會回傳或需要只在 HTTPS 頁面出現的存取權杖的 Facebook JavaScript SDK 呼叫。請參閱 2018 年 6 月 8 日的部落格文章

所有自 2018 年 3 月建立的新應用程式皆已需要使用這項設定,使用「Facebook 登入」的現有應用程式和網站則需要在 2018 年 10 月 6 日前選擇加入,在這之後便會自動啟用。只要不安全的重新導向 URI,或進行登入或 API 呼叫的頁面具有 HTTP 頁面的 JavaScript SDK,都將在這個日期之後停用。

企業整合

作為不同服務清單的「企業整合」,與用戶帳號設定的應用程式有所差別。這些服務可讓用戶連線至 Facebook 帳號,授予特殊權限以管理頁面、活動、廣告或頁面宣傳內容。您的企業 API 存取權會持續運作至這項變更進行為止,不會到期,屆時會以 Facebook 用戶身分移除頁面、廣告帳號、活動等整合。請參閱 2018 年 5 月 1 日發佈這項變更的部落格文章

個人資料刪除

若用戶要在 Facebook 的應用程式和網站設定中移除您的應用程式或網站,我們可以為用戶提供選項,要求您的應用程式或網站刪除所有您從 Facebook 接收的資訊。Facebook 體驗會告知用戶送出要求的時間,以及您服務的認可時間。系統還會為用戶提供您給予的確認編號,以及查看要求狀態的方式。為用戶提供這個選項可協助您自動進行顧客服務要求,展現您盡心盡力處理用戶的資訊,協助您達到 GDPR 等規範要求。

若要啟用這個選項,您需要向我們提供可以傳送要求的回呼網址。在應用程式主控板中,您可以在您應用程式的「Facebook 登入」設定頁面新增回呼網址。您的回呼必須使用 HTTPS。如需詳細資訊,請查看文件。請參閱 2018 年 5 月 25 日的部落格文章

資料保護長聯絡資料

我們要提供的方式,能讓您輕鬆將資料保護長的聯絡資料提供給歐洲用戶。請前往應用程式主控板中應用程式的「Facebook 登入」設定頁面,新增資料保護長的名稱(選填)、郵寄地址和電子郵件地址。用戶可在應用程式和網站設定中使用這項資訊,如果他們對資料的處理和使用方式有疑問,便可聯絡您的資料保護長。請參閱 2018 年 5 月 25 日的部落格文章

開發模式

若使用開發模式的應用程式,API 呼叫只會針對有應用程式角色(即管理員、開發人員或測試人員)的應用程式回傳用戶資料。這適用於 Facebook 個人檔案、粉絲專頁和其他 API。請參閱 2018 年 4 月 24 日的部落格文章

開發模式中的應用程式,目前限速每小時、每頁面與應用程式配對為 200 次呼叫,只能存取具有應用程式角色(管理員、開發人員或測試人員)的用戶。您可在應用程式主控板中檢視應用程式限速活動的圖表。公開模式中的應用程式開發人員和管理員,只能存取應用程式已獲准的權限。

我們建議開發人員在開發應用程式的新功能時,能考慮到這些限制。

重要參考資料和工具