17370845950

本文详解如何使用 `golang.org/x/oauth2` 和官方 facebook 适配器（`golang.org/x/oauth2/facebook`）实现安全、合规的 facebook 登录流程，涵盖授权码获取、令牌交换、用户信息拉取及常见错误规避。

在 Go 中集成 Facebook OAuth 2.0 认证时，一个典型误区是手动拼接 /oauth/access_token 请求 URL 并重复使用授权码（code）——这正是你遇到 "This authorization code has been used" 错误的根本原因。Facebook 的 OAuth 流程要求：每个 code 仅能被 POST 到 https://graph.facebook.com/oauth/access_token 一次，且必须通过 application/x-www-form-urlencoded 方式提交（含 client_id、client_secret、redirect_uri 和 code），而非 GET 请求。而你代码中既用 NewTransportFromCode()（已内部完成令牌交换），又额外发起 GET 请求，导致 code 被重复消费。

✅ 正确做法是：统一使用 oauth2.Config.Exchange() 方法完成令牌交换，它会自动构造符合规范的 POST 请求，并妥善处理响应。同时，应优先使用 golang.org/x/oauth2/facebook 提供的预配置 Endpoint，避免手动指定不兼容的授权/令牌端点（如旧版 dialog/oauth）。

以下是精简、可运行的完整示例（Go 1.18+）：

package main

import (
    "fmt"
    "io"
    "log"
    "net/http"
    "net/url"
    "strings"

    "golang.org/x/oauth2"
    "golang.org/x/oauth2/facebook"
)

var (
    // 替换为你的 Facebook App 配置
    oauthConf = &oauth2.Config{
        ClientID:     "YOUR_FACEBOOK_APP_ID",
        ClientSecret: "YOUR_FACEBOOK_APP_SECRET",
        RedirectURL:  "http://localhost:9090/oauth2callback",
        Scopes:       []string{"public_profile", "email"},
        Endpoint:     facebook.Endpoint, // ✅ 使用官方预设端点，无需手动指定
    }
    oauthStateString = "random_state_string_123456" // 防 CSRF，务必每次登录生成唯一值（生产环境建议用 crypto/rand）
)

func handleMain(w http.ResponseWriter, r *http.Request) {
    w.Header().Set("Content-Type", "text/html; charset=utf-8")
    fmt.Fprint(w, `
        
Facebook OAuth Demo
        Login with Facebook
    `)
}

func handleFacebookLogin(w http.ResponseWriter, r *http.Request) {
    // ✅ 构造标准授权 URL（state 参数必须传递）
    url := oauthConf.AuthCodeURL(oauthStateString, oauth2.AccessTypeOnline)
    http.Redirect(w, r, url, http.StatusTemporaryRedirect)
}

func handleFacebookCallback(w http.ResponseWriter, r *http.Request) {
    // ? 校验 state 防止 CSRF 攻击
    state := r.FormValue("state")
    if state != oauthStateString {
        http.Error(w, "invalid state", http.StatusBadRequest)
        return
    }

    code := r.FormValue("code")
    if code == "" {
        http.Error(w, "code not found", http.StatusBadRequest)
        return
    }

    // ✅ 唯一正确方式：调用 Exchange 获取 token
    token, err := oauthConf.Exchange(r.Context(), code) // 注意：r.Context() 替代已废弃的 oauth2.NoContext
    if err != nil {
        log.Printf("Exchange failed: %v", err)
        http.Error(w, "Failed to exchange code for token", http.StatusInternalServerError)
        return
    }

    // ✅ 使用 access_token 调用 Graph API
    client := oauthConf.Client(r.Context(), token)
    resp, err := client.Get("https://graph.facebook.com/me?fields=id,name,email,picture.width(200)")
    if err != nil {
        log.Printf("API request failed: %v", err)
        http.Error(w, "Failed to fetch user data", http.StatusInternalServerError)
        return
    }
    defer resp.Body.Close()

    body, err := io.ReadAll(resp.Body)
    if err != nil {
        log.Printf("Read response body failed: %v", err)
        http.Error(w, "Failed to read response", http.StatusInternalServerError)
        return
    }

    log.Printf("User info: %s", string(body))
    fmt.Fprintf(w, "Success! User data: %s", string(body))
}

func main() {
    http.HandleFunc("/", handleMain)
    http.HandleFunc("/login", handleFacebookLogin)
    http.HandleFunc("/oauth2callback", handleFacebookCallback)

    log.Println("Server starting on :9090")
    log.Fatal(http.ListenAndServe(":9090", nil))
}

? 关键注意事项：

• 禁止手动构造 /oauth/access_token 请求：oauth2.Config.Exchange() 已封装全部逻辑（包括 POST、表单编码、错误解析），自行拼接极易出错。
• state 参数不可或缺：必须在 AuthCodeURL() 和回调中严格校验，防止跨站请求伪造（CSRF）。
• RedirectURL 必须完全一致：需与 Facebook App 后台设置的「Valid OAuth Redirect URIs」精确匹配（含协议、端口、路径）。
• 使用 r.Context()：oauth2.NoContext 已弃用，应传入 r.Context() 以支持超时和取消。
• 生产环境增强：oauthStateString 应动态生成（如 crypto/rand），并绑定 session；Token 应持久化存储（如数据库）；API 响应需结构化解析（推荐 json.Unmarshal）。

遵循此模式，即可稳定、安全地完成 Facebook OAuth 集成，彻底规避“authorization code has been used”等典型错误。