Facebook連接（C＃SDK） - 如何查看用戶是否已通過身份驗證，但不強制？

Question

我正在使用Facebook C＃SDK在Facebook Connect和我的ASP.NET MVC 3網站之間實現單點登錄。

現在，在單點登錄的部分是：

如果用戶被驗證的Facebook，而不是我的網站，看看他們是否連接在我的系統，如果是，進行單點登錄（使用Forms Auth）。

現在，我不知道如何「看看用戶是否通過身份驗證」。我使用OAuth進行服務器端身份驗證，因此我不想強制他們通過登錄頁面進行登錄，只是進行無聲檢查。如果他們沒有通過身份驗證，我不會做任何事情 - 我只是等待他們點擊「連接Facebook」按鈕。

我們可以使用JavaScript API做到這一點 - 我們可以做到這一點的服務器端？

我基本上需要通過圖形API的等效FB.getLoginStatus。

當然必須有辦法服務器端 - 至少如果不是通過圖形API，老REST API或FQL？

Answer 1

描述後四處撒網，包括圖形API狩獵的日子裏，老REST API，FQL等 - 似乎JavaScript SDK是唯一一個在事先沒有訪問令牌的情況下允許此信息的人。

所以，我不得不使用JavaScript SDK：

<div id="fb-root"></div> 
<script type="text/javascript"> 
    window.fbAsyncInit = function() { 
     FB.init({ appId: 'xxxxxxx', status: true, cookie: false, xfbml: false 
     }); 
     FB.getLoginStatus(function (response) { 
      if (response.session) 
       window.location = '/Facebook/LogOn' 
     }); 
    }; 
    (function() { 
     var e = document.createElement('script'); 
     e.async = true; 
     e.src = document.location.protocol + '//connect.facebook.net/en_US/all.js'; 
     document.getElementById('fb-root').appendChild(e); 
    }()); 
</script> 

基本上，我首先加載JS API aysynchonrously以避免阻塞。

我再查看，如果用戶擁有Facebook會話。如果他們這樣做，我重定向到我的FacebookController，OAuth重定向（它會直接返回與令牌 - 因爲他們已經auth'ed），然後設置我自己的cookie。

我的全球行動，過濾器，然後踢，看到有一個cookie，並記錄在尼斯的用戶。

注意：我怎麼有cookie: false - 這是因爲我跟蹤我自己的cookies爲OAuth令牌和FB ID。

Answer 2

可以（AB）使用HTTP狀態代碼找到關於Facebook的信息，該技術在這裏

https://grepular.com/Abusing_HTTP_Status_Codes_to_Expose_Private_Information