Le paramètre redirect_uri pour le jeton d'accès doit-il être le même que celui utilisé pour le jeton de requête

Question

Je m'excuse d'avance pour une certaine confusion sur la terminologie. Je suis un peu confus avec l'ensemble du processus d'OAUTH.

J'ai remarqué que je devais passer un redirect_uri à la méthode de jeton d'accès facebook grant même si je ne vois pas comment il est utilisé. Mon serveur fait la demande et obtient la réponse, donc il n'y a pas de redirection. De plus, il semble que l'uri de redirection dans l'appel de jeton d'accès doit être le même que celui utilisé dans l'appel de jeton d'accès de requête (je comprends qu'il est nécessaire dans l'appel de jeton d'accès de requête).

Je ne sais pas si c'est nécessaire, mais voici le code que j'utilise pour que facebook attribue le jeton d'accès.

var url = String.Format(
     "https://graph.facebook.com/oauth/access_token?client_id={0}&client_secret={1}&code={2}&redirect_uri={3}", 
     this.AppId, 
     this.AppSecretKey, 
     code, 
     System.Web.HttpContext.Current.Server.UrlEncode(this.CallbackUrl) 
    ); 

Answer 1

Oui, pour aider Facebook vérifier la demande d'échange le code d'authentification pour un jeton d'accès, le REDIRECT_URL doit être le même pour les deux demandes.

Vous avez raison d'obtenir le jeton d'accès, aucune redirection n'est effectuée, le jeton d'accès est renvoyé dans le corps de la réponse HTTP.