Autenticazione

Entrambe le chiamate API Graph e API Marketing richiedono il passaggio di un token d'accesso come parametro in ciascuna chiamata API. In questa guida, ti mostriamo come ottenere i token d'accesso per finalità di test.

Per scoprire di più sull'autenticazione, consulta la nostra documentazione principale: Token d'accesso per le tecnologie di Meta

Questa documentazione riguarda:

• Token d'accesso: token d'accesso dell'utente, token d'accesso dell'utente di sistema, token d'accesso dell'app, token d'accesso della Pagina e token client.
• Token di lunga durata
• Debug ed errori
• Token d'accesso informazioni sulla sessione
• Portabilità

Tool di esplorazione per la API Graph

Puoi ottenere un token d'accesso dell'utente di test con il Tool di esplorazione per la API Graph. Per imparare a utilizzare il tool, consulta la Guida al Tool di esplorazione per la API Graph.

Ottenere token d'accesso dell'utente

1. Vai al Tool di esplorazione per la API Graph.
2. In App Facebook, seleziona un'app utilizzata per ottenere il token d'accesso.
3. In Utente o Pagina, seleziona Token utente.
4. In Autorizzazioni, seleziona ads_read.
5. Clicca su Genera token d'accesso. La casella sopra al pulsante viene popolata con il token d'accesso.
6. Memorizza il token per un uso successivo.

Debug

Per ottenere ulteriori informazioni nel token appena generato, cicca sul pulsante i visualizzato prima del token. Dopo il clic, viene visualizzata una schermata pop-up che mostra alcune informazioni di base sul token. Clicca su Apri nello Strumento di gestione token d'accesso per essere reindirizzato al Debugger dei token d'accesso.

Puoi anche accedere direttamente al Debugger dei token d'accesso e incollare il token generato nella casella di testo.

Durante il debug, controlla gli elementi eseguenti:

• ID dell'app: l'ID dell'app menzionato nella sezione dei prerequisiti.
• Scadenza: marca temporale Un token di breve durata scade entro un'ora o due.
• Ambiti: contiene le autorizzazioni aggiunte nel Tool di esplorazione per la API Graph.

Estendere i token d'accesso

1. Completa tutti i passaggi per ottenere il token d'accesso utilizzando il Tool di esplorazione per la API Graph.
2. Copia il token. Incollalo nella casella di testo nel Debugger dei token d'accesso.
3. Nel Debugger dei token d'accesso, scorri fino in fondo alla pagina.
4. Clicca su Estendi token d'accesso per ottenere un token di lunga durata. Copia il token per un uso successivo.

Verifica le proprietà del nuovo token utilizzando il Debugger dei token d'accesso. Dovrebbe avere un tempo di scadenza più lungo, ad esempio 60 giorni, oppure riportare Mai nella sezione Scadenza. Consulta Token d'accesso di lunga durata.

Utilizzare il token d'accesso dell'utente di sistema

Un token d'accesso dell'utente di sistema è un tipo di token d'accesso associato a un account utente di sistema, che è un account creato in Business Manager con lo scopo di gestire le risorse ed effettuare chiamate all'API Marketing. I token d'accesso dell'utente di sistema sono utili per interazioni server-server in cui non è presente alcun utente per l'autenticazione. Possono essere usati per eseguire azioni per conto dell'azienda, come leggere e scrivere dati aziendali, gestire campagne pubblicitarie e altri oggetti pubblicitari.

Uno dei vantaggi dell'uso di un token d'accesso dell'utente di sistema è che non scade, quindi può essere usato in script o servizi di lunga durata che richiedono l'accesso all'API Graph. Inoltre, poiché gli account utente di sistema non sono vincolati a una persona specifica, possono essere usati per fornire un livello di separazione tra attività personali e aziendali su Facebook.

I token dell'utente di sistema sono anche meno frequentemente soggetti a invalidazione per altri motivi rispetto ai token d'accesso dell'utente di lunga durata.

Ottenere token manualmente

Se l'utente clicca sul pulsante Consenti quando chiedi le autorizzazioni estese, viene reindirizzato a una URL che contiene il valore del parametro redirect_uri e un codice di autorizzazione:

http://YOUR_URL?code=<AUTHORIZATION_CODE>

Crea un URL che includa l'endpoint per ottenere un token, l'ID della tua app, l'URL del tuo sito, la tua chiave segreta e il codice di autorizzazione che hai appena ricevuto. L'URL sarà simile al seguente:

https://graph.facebook.com/<API_VERSION>/oauth/access_token?
  client_id=<YOUR_APP_ID>
  &redirect_uri=<YOUR_URL>
  &client_secret=<YOUR_APP_SECRET>
  &code=<AUTHORIZATION_CODE>

La risposta dovrebbe contenere il token d'accesso per l'utente:

• Se segui il flusso di autenticazione lato server, ottieni un token permanente.
• Se segui il flusso di autenticazione lato client, ottieni un token con un periodo di validità limitato da una a due ore. Questo può essere scambiato per un token permanente chiamando l'endpoint dell'API Graph per l'estensione dei token.

Se l'API deve essere invocata da un utente di sistema di un'azienda, puoi usare un token d'accesso dell'utente di sistema.

Puoi eseguire il debug del token d'accesso, controllarne la scadenza e convalidare le autorizzazioni fornite usando il debugger dei token d'accesso o l'API per la verifica programmatica.

Memorizzare il token

Il token deve essere memorizzato in sicurezza nel database per le chiamate API successive. Sposta i token dal client al server in modo sicuro attraverso il protocollo HTTPS, proteggendo gli account degli utenti. Scopri di più sulle implicazioni dello spostamento dei token tra client e server.

Devi controllarne regolarmente la validità e, se necessario, richiedere l'autorizzazione all'utente. Anche un token permanente può diventare non valido in alcuni casi, tra cui:

• Modifica della password dell'utente
• Revoca dell'autorizzazione da parte dell'utente

Poiché i token d'accesso dell'utente possono perdere validità o essere revocati in qualsiasi momento per una serie di motivi, l'app dovrebbe disporre di un processo per richiedere nuovamente l'autorizzazione all'utente. Quando un utente avvia l'app web, devi controllare la validità del token di cui disponi per tale utente. Se necessario, invia all'utente un token aggiornato tramite il processo di autenticazione.

Se non è possibile per l'app, potrebbe essere necessario effettuare la richiesta all'utente in modo diverso. Ciò può avvenire ad esempio se le chiamate API non vengono generate direttamente da un'interfaccia utente o vengono effettuate da script eseguiti periodicamente. Una possibile soluzione è inviare agli utenti un'e-mail contenente le istruzioni.