[ROR] facebook 로그인 정책 변경 유의사항

2018년도 3월 facebook 로그인 정책이 변경되었네요.

https://developers.facebook.com/docs/facebook-login/security/#surfacearea

가장 크게 변경된것은 https 필수 실행 입니다.

HTTPS를 실행하세요.

이 설정에는 OAuth 리디렉션용 HTTPS 및 JavaScript SDK를 사용하여 액세스 토큰을 가져오는 페이지가 필요합니다. 2018년 3월 현재 새로 만든 모든 앱에는 기본적으로 이 설정이 포함되며, 2019년 3월까지 모든 기존 앱을 HTTPS URL만 사용하도록 마이그레이션해야 합니다. 대부분의 주요 클라우드 앱 호스트는 앱에 대한 TLS 인증서를 무료로 자동 구성해줍니다. 앱을 자체 호스트하거나 호스팅 서비스에서 기본적으로 HTTPS를 제공하지 않는 경우 Let's Encrypt에서 도메인에 대한 무료 인증서를 얻을 수 있습니다.

라고 적혀있네요. ruby on rails 로 개발하시는 분들은 https 설정하는것은

http://soomti.tistory.com/28

을 참고해주세요. 제가 삽질한 내용입니다 하핳...

또 까다롭게 변한것은 Strict 모드활성화 인데요.

Strict 모드 활성화

Strict 모드에서는 악성 액터가 리디렉션을 도용하지 못하도록 차단하여 앱을 안전하게 보호합니다. 현재는 Strict 모드 활성화가 Instagram API에 대해 필수 사항이지만, 곧 모든 앱에 대해 활성화해야 합니다.

앱 대시보드에서 Strict 모드를 설정하기 전에 Facebook 로그인 설정에서 다음 액션을 수행하여 현재 리디렉션 트래픽이 계속 작동하는지 확인합니다.

• 앱에서 다이내믹 리디렉션 URI를 사용하는 경우 state 매개변수를 사용하여 다이내믹 정보를 제한된 수의 리디렉션 URI에 전달합니다. 그런 다음 각 제한된 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.

• 앱에서 제한된 수의 리디렉션 URI를 사용하는 경우 각 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.

• 앱에서 Facebook SDK만 사용하는 경우 리디렉션 트래픽이 이미 보호되어 있습니다. 따라서 별도의 액션이 필요하지 않습니다.

이 액션을 취한 후 Strict 모드를 활성화하세요.

라고 나와있는데 원래는, 앱 도메인만 설정 해 놓으면 알아서 callback url 을 안써줘도 facebook login 창이 알아서 떴었는데,

현재는 리디렉션되는 url 을 무조건 써야 합니다.

안그러면

URL을 읽어들일 수 없음: 앱 도메인에 포함되어 있지 않은 URL입니다. 이 URL을 읽어들이려면 앱 설정에서 앱 도메인 필드에 앱의 모든 도메인과 서브 도메인을 추가하세요.

이 에러가 발생하는데, 왜 됐다가 안됐지 하시는 분들은 콜백 url 을 잘 설정 해주시면 됩니다.

참고로

http://soomti.tistory.com/6?category=717610

ruby on rails devise gem 을 이용하시는 분들의 콜백 함수 url 은

http://domain.com/users/auth/facebook/callback

입니다.. 저처럼 /auth/facebook 만썼다가 에러 나서 한시간 동안 삽질 하시는 분들 없었으면 하는 바램입니다..