ASP.NET MVC5 OWIN Facebook 身份验证突然不起作用

2017年更新！

我发布原始问题时遇到的问题与 Facebook 最近强制每个人使用其 API 2.3 版本时所做的更改无关。有关该特定问题的解决方案，请参阅下面是 sammy34 的回答。 /oauth/access_token 端点的 2.3 版现在返回 JSON 而不是表单编码值

由于历史原因，这是我最初的问题/问题：

我有一个 MVC5 Web 应用程序，它使用通过 Facebook 和 Google 进行身份验证的内置支持。几个月前，当我们构建这个应用程序时，我们遵循了本教程：http://www.asp.net/mvc/tutorials/mvc-5/create-an-aspnet-mvc-5-app-with-facebook-and-google-oauth2-and-openid-sign-on一切都很好。

现在，突然间，Facebook 身份验证完全停止工作了。谷歌身份验证仍然很好用。

问题描述：我们单击链接使用 Facebook 进行连接，我们会被重定向到 Facebook，如果我们不允许 Facebook 应用程序访问我们的个人资料，系统会提示我们。当我们单击“确定”时，我们将被重定向回我们的网站，但我们并没有登录，而是直接到达登录屏幕。

我已经在调试模式下完成了这个过程，并且按照上面提到的教程，我在我的帐户控制器中得到了这个 ActionResult：

// GET: /Account/ExternalLoginCallback
[AllowAnonymous]
public async Task<ActionResult> ExternalLoginCallback(string returnUrl)
{
    var loginInfo = await AuthenticationManager.GetExternalLoginInfoAsync();
    if (loginInfo == null)
    {
        return RedirectToAction("Login");
    }
    ............

单步执行代码并从 Facebook 返回时，loginInfo 对象始终为 NULL，这会导致用户重定向回登录名。

为了了解幕后实际发生的情况，我安装了 Fiddler 并监控 HTTP 流量。我发现，在 Facebook 权限对话框中单击“确定”后，Facebook 会使用以下 URL 重定向回我们的应用程序：

https://localhost/signin-facebook?code=<access-token>

我猜这个 URL 不是一个实际的文件，可能是由内置于这个 OWIN 框架中的一些控制器/处理程序处理的。最有可能的是，它正在使用给定的代码连接回 Facebook，以查询有关尝试登录的用户的信息。现在的问题是，我们没有这样做，而是被重定向到：

/Account/ExternalLoginCallback?error=access_denied

我确信 Facebook 正在做的事情，即它没有向我们提供用户数据，而是使用此错误消息将我们重定向回来。

这导致AuthenticationManager.GetExternalLoginInfoAsync();失败并始终返回 NULL。

我完全没有主意了。据我们所知，我们最终没有改变任何东西。

我尝试过创建一个新的 Facebook 应用程序，我尝试再次按照教程进行操作，但我总是遇到同样的问题。

欢迎任何想法！

Update!

好吧，这让我发疯了！我现在已经手动完成了执行身份验证所需的步骤，并且当我这样做时一切都很好。为什么在使用 MVC5 Owin 东西时这不起作用？

这就是我所做的：

    // Step 1 - Pasted this into a browser, this returns a code
    https://www.facebook.com/dialog/oauth?response_type=code&client_id=619359858118523&redirect_uri=https%3A%2F%2Flocalhost%2Fsignin-facebook&scope=&state=u9R1m4iRI6Td4yACEgO99ETQw9NAos06bZWilJxJrXRn1rh4KEQhfuEVAq52UPnUif-lEHgayyWrsrdlW6t3ghLD8iFGX5S2iUBHotyTqCCQ9lx2Nl091pHPIw1N0JV23sc4wYfOs2YU5smyw9MGhcEuinvTAEql2QhBowR62FfU6PY4lA6m8pD3odI5MwBYOMor3eMLu2qnpEk0GekbtTVWgQnKnH6t1UcC6KcNXYY

I was redirected back to localhost (which I had shut down at this point to avoid being redirected immediately away).  The URL I was redirected to is this:

https://localhost/signin-facebook?code=<code-received-removed-for-obvious-reasons>

Now, I grabbed the code I got and used it in the URL below:

// Step 2 - opened this URL in a browser, and successfully retrieved an access token
https://graph.facebook.com/oauth/access_token?client_id=619359858118523&redirect_uri=https://localhost/signin-facebook&client_secret=<client-secret>&code=<code-from-step-1>

// Step 3 - Now I'm able to query the facebook graph using the access token from step 2!

https://graph.facebook.com/me?access_token=<access-token-from-step-2>

没有错误，一切都很好！那么为什么在使用 MVC5 Owin 东西时这不起作用呢？ OWin 的实现显然有问题。

2017 年 4 月 22 日更新：Microsoft.Owin.* 软件包的 3.1.0 版现已推出。如果自 2017 年 3 月 27 日起 Facebook 的 API 更改后您遇到问题，请先尝试更新的 NuGet 包。就我而言，他们解决了问题（在我们的生产系统上运行良好）。

原答案：

就我而言，我于 2017 年 3 月 28 日醒来，发现我们应用程序的 Facebook 身份验证突然停止工作。我们没有更改应用程序代码中的任何内容。

事实证明，Facebook 在 2017 年 3 月 27 日对其图形 API 从版本 2.2 进行了“强制升级”至 2.3。这些版本的 API 的差异之一似乎是 Facebook 端点/oauth/access_token不再使用表单编码的内容主体进行响应，而是使用 JSON 进行响应。

现在，在Owin中间件中，我们找到了方法protected override FacebookAuthenticationHandler.AuthenticateCoreAsync()，它将响应的正文解析为表单，然后使用access_token从解析的形式。不用说，解析后的形式是空的，所以access_token也为空，导致access_denied错误在链的下游。

为了快速解决这个问题，我们为 Facebook Oauth 响应创建了一个包装类

public class FacebookOauthResponse
{
    public string access_token { get; set; }
    public string token_type { get; set; }
    public int expires_in { get; set; }
}

然后，在 OwinStart 中，我们添加了一个自定义反向通道处理程序...

        app.UseFacebookAuthentication(new FacebookAuthenticationOptions
        {
            AppId = "hidden",
            AppSecret = "hidden",
            BackchannelHttpHandler = new FacebookBackChannelHandler()
        });

...其中处理程序定义为：

public class FacebookBackChannelHandler : HttpClientHandler
{
    protected override async System.Threading.Tasks.Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
    {
        var result = await base.SendAsync(request, cancellationToken);
        if (!request.RequestUri.AbsolutePath.Contains("access_token"))
            return result;

        // For the access token we need to now deal with the fact that the response is now in JSON format, not form values. Owin looks for form values.
        var content = await result.Content.ReadAsStringAsync();
        var facebookOauthResponse = JsonConvert.DeserializeObject<FacebookOauthResponse>(content);

        var outgoingQueryString = HttpUtility.ParseQueryString(string.Empty);
        outgoingQueryString.Add(nameof(facebookOauthResponse.access_token), facebookOauthResponse.access_token);
        outgoingQueryString.Add(nameof(facebookOauthResponse.expires_in), facebookOauthResponse.expires_in + string.Empty);
        outgoingQueryString.Add(nameof(facebookOauthResponse.token_type), facebookOauthResponse.token_type);
        var postdata = outgoingQueryString.ToString();

        var modifiedResult = new HttpResponseMessage(HttpStatusCode.OK)
        {
            Content = new StringContent(postdata)
        };

        return modifiedResult;
    }
}

基本上，处理程序只是创建一个新的 HttpResponseMessage，其中包含来自 Facebook JSON 响应的等效表单编码信息。请注意，此代码使用流行的 Json.Net 包。

有了这个自定义处理程序，问题似乎得到了解决（尽管我们还没有部署到产品:)）。

希望这可以帮助其他人今天醒来时遇到类似的问题！

另外，如果有人对此有更干净的解决方案，我很想知道！