Authentifizierung

Bei jedem Graph-API- und Marketing API-Aufruf musst du einen Zugriffsschlüssel als Parameter übergeben. In diesem Leitfaden zeigen wir dir, wie du Zugriffstoken zu Testzwecken abrufen kannst.

Mehr über Authentifizierung findest du in unserer Hauptdokumentation: Zugriffsschlüssel für Meta-Technologien

In dieser Dokumentation wird Folgendes behandelt:

• Zugriffsschlüssel – Nutzer-Zugriffsschlüssel, Systemnutzer-Zugriffsschlüssel, App-Zugriffsschlüssel, Seiten-Zugriffsschlüssel und Client-Schlüssel.
• Langlebige Schlüssel
• Debuggen und Fehler
• Zugriffsschlüssel für Sitzungsinfo
• Portabilität

Graph API Explorer

Mit Graph API Explorer kannst du einen Zugriffsschlüssel für einen Testnutzer abrufen. Erfahre im Leitfaden zum Graph API Explorer mehr über die Verwendung des Explorers.

Beziehen von Nutzer-Zugriffsschlüsseln

1. Gehe zu Graph API Explorer.
2. Wähle in Facebook-App, eine App aus, um den Zugriffsschlüssel zu beziehen.
3. Wähle unter Nutzer oder SeiteNutzer-Token.
4. Aktiviere unter Berechtigungenads_read.
5. Klicke auf Zugriffsschlüssel generieren. Der Rahmen auf dem Button enthält den Zugriffsschlüssel.
6. Speichere diesen Schlüssel zum späteren Gebrauch.

Debuggen

Klicke für mehr Informationen zum soeben generierten Schlüssel auf den i-Button vor dem Schlüssel. Nach dem Klick wird ein Popup-Bildschirm mit einigen grundlegenden Informationen zum Schlüssel angezeigt. Klicke im Access Token Tool auf die Option zum Öffnen, um zum Zugriffsschlüssel-Debugger weitergeleitet zu werden.

Du kannst auch direkt den Zugriffsschlüssel-Debugger aufrufen und den von dir generierten Schlüssel in das Textfeld einfügen.

Überprüfe beim Debuggen Folgendes:

• App-ID: Die im Abschnitt mit den Voraussetzungen angegebene App-ID.
• Ablauf: Ein Zeitstempel. Ein kurzlebiger Schlüssel läuft innerhalb von ein oder zwei Stunden ab
• Umfang: Enthält die in Graph API Explorer hinzugefügten Berechtigungen.

Erweiterter Zugriffsschlüssel

1. Führe alle Schritte aus, um den Zugriffsschlüssel mit dem Graph-API-Explorer zu beziehen.
2. Kopiere deinen Schlüssel. Füge ihn im Textfeld auf dem Zugriffstoken-Debugger ein.
3. Scrolle im Zugriffstoken-Debugger bis zum Ende der Seite.
4. Klicke auf Zugriffsschlüssel verlängern, um einen langlebigen Zugriffsschlüssel zu erhalten. Kopiere diesen Zugriffsschlüssel zur späteren Verwendung.

Überprüfe die Eigenschaften deines neuen Zugriffsschlüssels mit dem Zugriffsschlüssel-Debugger. Unter Ablauf sollte eine längere Ablaufzeit angegeben sein wie zum Beispiel 60 Tage oder Nie. Siehe Langlebiger Zugriffsschlüssel.

Systemnutzer-Zugriffsschlüssel verwenden

Ein Systemnutzer-Zugriffsschlüssel ist eine Art Zugriffsschlüssel, der einem Systemnutzerkonto zugeordnet ist. Dabei handelt es sich um ein Konto, das im Business Manager zwecks Verwaltung von Assets und des Aufrufs der Marketing API erstellt wird. Systemnutzer-Zugriffsschlüssel sind nützlich für Server-zu-Server-Interaktionen, bei denen kein*e Nutzer*in zur Authentifizierung anwesend ist. Sie können verwendet werden, um Aktionen im Namen des Unternehmens durchzuführen, z. B. das Lesen und Schreiben von Unternehmensdaten, das Verwalten von Werbekampagnen und anderen Werbeobjekten.

Ein Vorteil der Verwendung eines Systemnutzer-Zugriffsschlüssels besteht darin, dass er nicht abläuft und daher in Skripten oder Diensten mit langer Laufzeit verwendet werden kann, die auf die Graph API zugreifen müssen. Da Systemnutzerkonten außerdem nicht an eine bestimmte Person gebunden sind, können sie dazu verwendet werden, eine Trennung zwischen persönlichen und geschäftlichen Aktivitäten auf Facebook zu ermöglichen.

Im Vergleich zu langlebigen Nutzer-Zugriffsschlüsseln ist die Wahrscheinlichkeit auch geringer, dass Systemnutzer-Schlüssel aus anderen Gründen ungültig werden.

Schlüssel manuell abrufen

Wenn der*die Nutzer*in auf den Button Zulassen klickt, wenn du die erweiterten Berechtigungen anforderst, wird er zu einer URL weitergeleitet, die den Wert des Parameters redirect_uri und einen Autorisierungscode enthält:

http://YOUR_URL?code=<AUTHORIZATION_CODE>

Erstelle eine URL, die den Endpunkt zum Abrufen des Tokens, deine App-ID, deine Webseiten-URL, den geheimen App-Schlüssel und den gerade erhaltenen Autorisierungscode enthält. Die URL sollte folgendem Muster entsprechen:

https://graph.facebook.com/<API_VERSION>/oauth/access_token?
  client_id=<YOUR_APP_ID>
  &redirect_uri=<YOUR_URL>
  &client_secret=<YOUR_APP_SECRET>
  &code=<AUTHORIZATION_CODE>

Die Antwort sollte den Zugriffsschlüssel für den*die Nutzer*in enthalten:

• Wenn du den serverseitigen Authentifizierungsvorgang verwendest, wird ein dauerhafter Schlüssel bereitgestellt.
• Wenn du den clientseitigen Authentifizierungsvorgang verwendest, wird ein Schlüssel mit einer begrenzten Gültigkeitsdauer von ca. ein bis zwei Stunden bereitgestellt. Dieser Schlüssel kann durch einen dauerhaften Schlüssel ersetzt werden, indem du die Graph-API-Endpunkt zur Verlängerung von Schlüsseln aufrufst.

Wenn die API von einem Systemnutzer eines Unternehmens aufgerufen werden soll, kannst du einen Systemnutzer-Zugriffsschlüssel verwenden.

Du kannst mithilfe des Zugriffsschlüssel-Debuggers oder über die programmgesteuerte Prüf-API den Zugriffsschlüssel debuggen, den Ablaufzeitpunkt überprüfen und die gewährten Berechtigungen prüfen.

Speichern des Schlüssels

Der Schlüssel sollte in deiner Datenbank für nachfolgende API-Aufrufe sicher gespeichert sein. Du musst Schlüssel zwischen deinem Client und deinem Server abgesichert über HTTPS verschieben, damit die Sicherheit der Nutzer*innenkonten gewährleistet ist. Hier erhältst du weitere Informationen über das Verschieben von Schlüsseln zwischen deinen Clients und deinem Server sowie die Auswirkungen davon.

Du solltest regelmäßig die Gültigkeit des Schlüssels überprüfen und ggf. eine Berechtigung bei dem*der Nutzer*in anfordern. Auch ein dauerhafter Schlüssel kann in einzelnen Fällen ungültig werden, z.  B. wenn:

• sich das Nutzer*innenpasswort ändert
• der*die Nutzer*in die Berechtigung aufhebt

Da Nutzer-Zugriffsschlüssel in einigen Fällen jederzeit ungültig gemacht oder widerrufen werden können, sollte deine App so gestaltet sein, dass diese Option berücksichtigt wird und eine Möglichkeit verfügbar ist, die Nutzer*innenberechtigung erneut anzufordern. Wenn ein*e Nutzer*in deine Web-App startet, musst du die Gültigkeit des Schlüssels, den du für diese*n Nutzer*in hast, überprüfen. Lasse sie gegebenenfalls den Authentifizierungsvorgang durchlaufen, um einen aktualisierten Schlüssel zu erhalten.

Wenn dies für deine App nicht möglich ist, musst du möglicherweise eine andere Möglichkeit finden, um eine Nutzer*innenaufforderung auszuführen. Dies kann dann der Fall sein, wenn z. B. API-Aufrufe nicht direkt von einer Benutzungsoberfläche ausgelöst werden können oder die Aufrufe über regelmäßig ausgeführte Skripts erfolgen. Zur Lösung kannst du z. B. Nutzer*innen eine E-Mail mit Anweisungen schicken.