C'est-à-dire en boucle infiniment lors de l'utilisation de l'autorisation

StackOverflow https://stackoverflow.com/questions/6029694

Question

Je développe une application Facebook, et je veux seulement permettre l'accès à certaines vues si le visiteur est autorisé via Facebook. Cela devrait être une tâche assez simple et je pensais que c'est, jusqu'à ce que je puisse l'essayer dans IE. Le code suivant fonctionne bien en Chrome et Safari. Je veux utiliser l'authentification des formulaires et donc j'ai défini 

<forms loginUrl="~/Account/Login" timeout="2880" />

dans web.config. Cela dirigera le visiteur à l'action suivante lors de la saisie de mon application: 

    public ActionResult Login(string returnUrl)
    {
        ManagerGame2.Utilities.StaticDataContent.InitStaticData();

        var oAuthClient = new FacebookOAuthClient();
        oAuthClient.AppId = FacebookApplication.Current.AppId;
        oAuthClient.RedirectUri = new Uri(redirectUrl);
        var loginUri = oAuthClient.GetLoginUrl(new Dictionary<string, object> { { "state", returnUrl } });
        return Redirect(loginUri.AbsoluteUri);
    }

Ensuite, l'utilisateur est redirigé vers une page Facebook et un jeton d'accès est renvoyé dans mon oauth actionResult: 

public ActionResult OAuth(string code, string state)
    {
        FacebookOAuthResult oauthResult;
        if (FacebookOAuthResult.TryParse(Request.Url, out oauthResult))
        {
            if (oauthResult.IsSuccess)
            {
                var oAuthClient = new FacebookOAuthClient();
                oAuthClient.AppId = FacebookApplication.Current.AppId;
                oAuthClient.AppSecret = FacebookApplication.Current.AppSecret;
                oAuthClient.RedirectUri = new Uri(redirectUrl);
                dynamic tokenResult = oAuthClient.ExchangeCodeForAccessToken(code);
                string accessToken = tokenResult.access_token;

                DateTime expiresOn = DateTime.MaxValue;

                if (tokenResult.ContainsKey("expires"))
                {
                    DateTimeConvertor.FromUnixTime(tokenResult.expires);
                }

                FacebookClient fbClient = new FacebookClient(accessToken);
                dynamic me = fbClient.Get("me?fields=id,name");
                long facebookID = Convert.ToInt64(me.id);


                Account acc = (from x in db.Account.OfType<Account>() where x.FaceBookID == facebookID select x).FirstOrDefault();
                if (acc == null)
                {
                    acc = CreateAccount(me);
                }
                acc.LatestLogin = DateTime.Now;
                db.Entry(acc).State = EntityState.Modified;
                db.SaveChanges();

                MemoryUserStore.CurrentAccount = acc;

                UserRoleProvider usp = new UserRoleProvider();
                usp.GetRolesForUser(acc.AccountID.ToString());
                FormsAuthentication.SetAuthCookie(acc.AccountID.ToString(), false);

                if (Url.IsLocalUrl(state))
                {
                    return Redirect(state);
                }
                return RedirectToAction("Details", "Account", new { id = acc.AccountID });
            }
        }

        return RedirectToAction("Index", "Account");
    }

Qu'est-ce que j'essaie de faire ici, est de vérifier d'abord si le jeton que je récupère de la redirection est valide. Si c'est le cas, je tire quelques données sur le visiteur, comme FacebookID et nom. Je l'associe ensuite à ma base de données, de voir si l'utilisateur existe déjà, et sinon, je le crée un. J'affecte également un rôle pour l'utilisateur dans mon fournisseur de rôle personnalisé, mais j'ai eu le problème de la boucle infinie avant cela. Alors je mets 

FormsAuthentication.SetAuthCookie(acc.AccountID.ToString(), false);

Et je suppose que c'est le cœur de garder une trace de la héter qu'un visiteur est autorisé ou non. Autant que je sache, lorsque le visiteur tente d'appeler une actionResulte nécessitant [Autoriser], le système vérifiera ce cookie.

Eh bien, quelqu'un pourrait-il s'il vous plaît clarifier pourquoi le code ci-dessus fonctionne dans chrome / safari, mais continue de boucler de la connexion, puis de OAuth infiniment dans IE?

Mon application utilise MVC 3, Code EF en premier et Facebook C # SDK 5.0.25

Était-ce utile?

La solution

Okay, so i figured out that the problem was triggered by the [Authorize] annotation, as expected. The Facebook SDK has a [CanvasAuthorize] annotation, and when i switch to using this, IE works fine and does not login forever.

Before this, i tried using cookieless authentication, but IE still didn't want to play along.

As far as i have figured out, the problem occurs because Facebook apps are inside an IFrame. This supposedly screws something up with cookies and trust. If someone knows why this is, i would appreciate to hear about it.

Also, if anyone knows how to use and maintain roles, easily, with this [CanvasAuthorize], i would be glad to know.

Autres conseils

I know this seems obvious but are you sure cookies aren't disabled in IE? There is an option to disable cookies in developer tools.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top