plugins/Facebook/facebook/facebook.php

   1 <?php
   2 // Copyright 2004-2009 Facebook. All Rights Reserved.
   3 //
   4 // +---------------------------------------------------------------------------+
   5 // | Facebook Platform PHP5 client                                             |
   6 // +---------------------------------------------------------------------------+
   7 // | Copyright (c) 2007 Facebook, Inc.                                         |
   8 // | All rights reserved.                                                      |
   9 // |                                                                           |
  10 // | Redistribution and use in source and binary forms, with or without        |
  11 // | modification, are permitted provided that the following conditions        |
  12 // | are met:                                                                  |
  13 // |                                                                           |
  14 // | 1. Redistributions of source code must retain the above copyright         |
  15 // |    notice, this list of conditions and the following disclaimer.          |
  16 // | 2. Redistributions in binary form must reproduce the above copyright      |
  17 // |    notice, this list of conditions and the following disclaimer in the    |
  18 // |    documentation and/or other materials provided with the distribution.   |
  19 // |                                                                           |
  20 // | THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR      |
  21 // | IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES |
  22 // | OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.   |
  23 // | IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,          |
  24 // | INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT  |
  25 // | NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, |
  26 // | DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY     |
  27 // | THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT       |
  28 // | (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF  |
  29 // | THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.         |
  30 // +---------------------------------------------------------------------------+
  31 // | For help with this library, contact developers-help@facebook.com          |
  32 // +---------------------------------------------------------------------------+
  33
  34 include_once 'facebookapi_php5_restlib.php';
  35
  36 define('FACEBOOK_API_VALIDATION_ERROR', 1);
  37 class Facebook {
  38   public $api_client;
  39   public $api_key;
  40   public $secret;
  41   public $generate_session_secret;
  42   public $session_expires;
  43
  44   public $fb_params;
  45   public $user;
  46   public $profile_user;
  47   public $canvas_user;
  48   protected $base_domain;
  49   /*
  50    * Create a Facebook client like this:
  51    *
  52    * $fb = new Facebook(API_KEY, SECRET);
  53    *
  54    * This will automatically pull in any parameters, validate them against the
  55    * session signature, and chuck them in the public $fb_params member variable.
  56    *
  57    * @param api_key                  your Developer API key
  58    * @param secret                   your Developer API secret
  59    * @param generate_session_secret  whether to automatically generate a session
  60    *                                 if the user doesn't have one, but
  61    *                                 there is an auth token present in the url,
  62    */
  63   public function __construct($api_key, $secret, $generate_session_secret=false) {
  64     $this->api_key                 = $api_key;
  65     $this->secret                  = $secret;
  66     $this->generate_session_secret = $generate_session_secret;
  67     $this->api_client = new FacebookRestClient($api_key, $secret, null);
  68     $this->validate_fb_params();
  69
  70     // Set the default user id for methods that allow the caller to
  71     // pass an explicit uid instead of using a session key.
  72     $defaultUser = null;
  73     if ($this->user) {
  74       $defaultUser = $this->user;
  75     } else if ($this->profile_user) {
  76       $defaultUser = $this->profile_user;
  77     } else if ($this->canvas_user) {
  78       $defaultUser = $this->canvas_user;
  79     }
  80
  81     $this->api_client->set_user($defaultUser);
  82
  83
  84     if (isset($this->fb_params['friends'])) {
  85       $this->api_client->friends_list =
  86         array_filter(explode(',', $this->fb_params['friends']));
  87     }
  88     if (isset($this->fb_params['added'])) {
  89       $this->api_client->added = $this->fb_params['added'];
  90     }
  91     if (isset($this->fb_params['canvas_user'])) {
  92       $this->api_client->canvas_user = $this->fb_params['canvas_user'];
  93     }
  94   }
  95
  96   /*
  97    * Validates that the parameters passed in were sent from Facebook. It does so
  98    * by validating that the signature matches one that could only be generated
  99    * by using your application's secret key.
 100    *
 101    * Facebook-provided parameters will come from $_POST, $_GET, or $_COOKIE,
 102    * in that order. $_POST and $_GET are always more up-to-date than cookies,
 103    * so we prefer those if they are available.
 104    *
 105    * For nitty-gritty details of when each of these is used, check out
 106    * http://wiki.developers.facebook.com/index.php/Verifying_The_Signature
 107    *
 108    * @param bool  resolve_auth_token  convert an auth token into a session
 109    */
 110   public function validate_fb_params($resolve_auth_token=true) {
 111     $this->fb_params = $this->get_valid_fb_params($_POST, 48 * 3600, 'fb_sig');
 112
 113     // note that with preload FQL, it's possible to receive POST params in
 114     // addition to GET, so use a different prefix to differentiate them
 115     if (!$this->fb_params) {
 116       $fb_params = $this->get_valid_fb_params($_GET, 48 * 3600, 'fb_sig');
 117       $fb_post_params = $this->get_valid_fb_params($_POST, 48 * 3600, 'fb_post_sig');
 118       $this->fb_params = array_merge($fb_params, $fb_post_params);
 119     }
 120
 121     // Okay, something came in via POST or GET
 122     if ($this->fb_params) {
 123       $user               = isset($this->fb_params['user']) ?
 124                             $this->fb_params['user'] : null;
 125       $this->profile_user = isset($this->fb_params['profile_user']) ?
 126                             $this->fb_params['profile_user'] : null;
 127       $this->canvas_user  = isset($this->fb_params['canvas_user']) ?
 128                             $this->fb_params['canvas_user'] : null;
 129       $this->base_domain  = isset($this->fb_params['base_domain']) ?
 130                             $this->fb_params['base_domain'] : null;
 131
 132       if (isset($this->fb_params['session_key'])) {
 133         $session_key =  $this->fb_params['session_key'];
 134       } else if (isset($this->fb_params['profile_session_key'])) {
 135         $session_key =  $this->fb_params['profile_session_key'];
 136       } else {
 137         $session_key = null;
 138       }
 139       $expires     = isset($this->fb_params['expires']) ?
 140                      $this->fb_params['expires'] : null;
 141       $this->set_user($user,
 142                       $session_key,
 143                       $expires);
 144     }
 145     // if no Facebook parameters were found in the GET or POST variables,
 146     // then fall back to cookies, which may have cached user information
 147     // Cookies are also used to receive session data via the Javascript API
 148     else if ($cookies =
 149              $this->get_valid_fb_params($_COOKIE, null, $this->api_key)) {
 150
 151       $base_domain_cookie = 'base_domain_' . $this->api_key;
 152       if (isset($_COOKIE[$base_domain_cookie])) {
 153         $this->base_domain = $_COOKIE[$base_domain_cookie];
 154       }
 155
 156       // use $api_key . '_' as a prefix for the cookies in case there are
 157       // multiple facebook clients on the same domain.
 158       $expires = isset($cookies['expires']) ? $cookies['expires'] : null;
 159       $this->set_user($cookies['user'],
 160                       $cookies['session_key'],
 161                       $expires);
 162     }
 163     // finally, if we received no parameters, but the 'auth_token' GET var
 164     // is present, then we are in the middle of auth handshake,
 165     // so go ahead and create the session
 166     else if ($resolve_auth_token && isset($_GET['auth_token']) &&
 167              $session = $this->do_get_session($_GET['auth_token'])) {
 168       if ($this->generate_session_secret &&
 169           !empty($session['secret'])) {
 170         $session_secret = $session['secret'];
 171       }
 172
 173       if (isset($session['base_domain'])) {
 174         $this->base_domain = $session['base_domain'];
 175       }
 176
 177       $this->set_user($session['uid'],
 178                       $session['session_key'],
 179                       $session['expires'],
 180                       isset($session_secret) ? $session_secret : null);
 181     }
 182
 183     return !empty($this->fb_params);
 184   }
 185
 186   // Store a temporary session secret for the current session
 187   // for use with the JS client library
 188   public function promote_session() {
 189     try {
 190       $session_secret = $this->api_client->auth_promoteSession();
 191       if (!$this->in_fb_canvas()) {
 192         $this->set_cookies($this->user, $this->api_client->session_key, $this->session_expires, $session_secret);
 193       }
 194       return $session_secret;
 195     } catch (FacebookRestClientException $e) {
 196       // API_EC_PARAM means we don't have a logged in user, otherwise who
 197       // knows what it means, so just throw it.
 198       if ($e->getCode() != FacebookAPIErrorCodes::API_EC_PARAM) {
 199         throw $e;
 200       }
 201     }
 202   }
 203
 204   public function do_get_session($auth_token) {
 205     try {
 206       return $this->api_client->auth_getSession($auth_token, $this->generate_session_secret);
 207     } catch (FacebookRestClientException $e) {
 208       // API_EC_PARAM means we don't have a logged in user, otherwise who
 209       // knows what it means, so just throw it.
 210       if ($e->getCode() != FacebookAPIErrorCodes::API_EC_PARAM) {
 211         throw $e;
 212       }
 213     }
 214   }
 215
 216   // Invalidate the session currently being used, and clear any state associated
 217   // with it. Note that the user will still remain logged into Facebook.
 218   public function expire_session() {
 219     try {
 220       if ($this->api_client->auth_expireSession()) {
 221         $this->clear_cookie_state();
 222         return true;
 223       } else {
 224         return false;
 225       }
 226     } catch (Exception $e) {
 227       $this->clear_cookie_state();
 228     }
 229   }
 230
 231   /** Logs the user out of all temporary application sessions as well as their
 232    * Facebook session.  Note this will only work if the user has a valid current
 233    * session with the application.
 234    *
 235    * @param string  $next  URL to redirect to upon logging out
 236    *
 237    */
 238    public function logout($next) {
 239     $logout_url = $this->get_logout_url($next);
 240
 241     // Clear any stored state
 242     $this->clear_cookie_state();
 243
 244     $this->redirect($logout_url);
 245   }
 246
 247   /**
 248    *  Clears any persistent state stored about the user, including
 249    *  cookies and information related to the current session in the
 250    *  client.
 251    *
 252    */
 253   public function clear_cookie_state() {
 254     if (!$this->in_fb_canvas() && isset($_COOKIE[$this->api_key . '_user'])) {
 255        $cookies = array('user', 'session_key', 'expires', 'ss');
 256        foreach ($cookies as $name) {
 257          setcookie($this->api_key . '_' . $name,
 258                    false,
 259                    time() - 3600,
 260                    '',
 261                    $this->base_domain);
 262          unset($_COOKIE[$this->api_key . '_' . $name]);
 263        }
 264        setcookie($this->api_key, false, time() - 3600, '', $this->base_domain);
 265        unset($_COOKIE[$this->api_key]);
 266      }
 267
 268      // now, clear the rest of the stored state
 269      $this->user = 0;
 270      $this->api_client->session_key = 0;
 271   }
 272
 273   public function redirect($url) {
 274     if ($this->in_fb_canvas()) {
 275       echo '<fb:redirect url="' . $url . '"/>';
 276     } else if (preg_match('/^https?:\/\/([^\/]*\.)?facebook\.com(:\d+)?/i', $url)) {
 277       // make sure facebook.com url's load in the full frame so that we don't
 278       // get a frame within a frame.
 279       echo "<script type=\"text/javascript\">\ntop.location.href = \"$url\";\n</script>";
 280     } else {
 281       header('Location: ' . $url);
 282     }
 283     exit;
 284   }
 285
 286   public function in_frame() {
 287     return isset($this->fb_params['in_canvas'])
 288         || isset($this->fb_params['in_iframe']);
 289   }
 290   public function in_fb_canvas() {
 291     return isset($this->fb_params['in_canvas']);
 292   }
 293
 294   public function get_loggedin_user() {
 295     return $this->user;
 296   }
 297
 298   public function get_canvas_user() {
 299     return $this->canvas_user;
 300   }
 301
 302   public function get_profile_user() {
 303     return $this->profile_user;
 304   }
 305
 306   public static function current_url() {
 307     return 'http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];
 308   }
 309
 310   // require_add and require_install have been removed.
 311   // see http://developer.facebook.com/news.php?blog=1&story=116 for more details
 312   public function require_login() {
 313     if ($user = $this->get_loggedin_user()) {
 314       return $user;
 315     }
 316     $this->redirect($this->get_login_url(self::current_url(), $this->in_frame()));
 317   }
 318
 319   public function require_frame() {
 320     if (!$this->in_frame()) {
 321       $this->redirect($this->get_login_url(self::current_url(), true));
 322     }
 323   }
 324
 325   public static function get_facebook_url($subdomain='www') {
 326     return 'http://' . $subdomain . '.facebook.com';
 327   }
 328
 329   public function get_install_url($next=null) {
 330     // this was renamed, keeping for compatibility's sake
 331     return $this->get_add_url($next);
 332   }
 333
 334   public function get_add_url($next=null) {
 335     $page = self::get_facebook_url().'/add.php';
 336     $params = array('api_key' => $this->api_key);
 337
 338     if ($next) {
 339       $params['next'] = $next;
 340     }
 341
 342     return $page . '?' . http_build_query($params);
 343   }
 344
 345   public function get_login_url($next, $canvas) {
 346     $page = self::get_facebook_url().'/login.php';
 347     $params = array('api_key' => $this->api_key,
 348                     'v'       => '1.0');
 349
 350     if ($next) {
 351       $params['next'] = $next;
 352     }
 353     if ($canvas) {
 354       $params['canvas'] = '1';
 355     }
 356
 357     return $page . '?' . http_build_query($params);
 358   }
 359
 360   public function get_logout_url($next) {
 361     $page = self::get_facebook_url().'/logout.php';
 362     $params = array('app_key'     => $this->api_key,
 363                     'session_key' => $this->api_client->session_key);
 364
 365     if ($next) {
 366       $params['connect_next'] = 1;
 367       $params['next'] = $next;
 368     }
 369
 370     return $page . '?' . http_build_query($params);
 371   }
 372
 373   public function set_user($user, $session_key, $expires=null, $session_secret=null) {
 374     if (!$this->in_fb_canvas() && (!isset($_COOKIE[$this->api_key . '_user'])
 375                                    || $_COOKIE[$this->api_key . '_user'] != $user)) {
 376       $this->set_cookies($user, $session_key, $expires, $session_secret);
 377     }
 378     $this->user = $user;
 379     $this->api_client->session_key = $session_key;
 380     $this->session_expires = $expires;
 381   }
 382
 383   public function set_cookies($user, $session_key, $expires=null, $session_secret=null) {
 384     $cookies = array();
 385     $cookies['user'] = $user;
 386     $cookies['session_key'] = $session_key;
 387     if ($expires != null) {
 388       $cookies['expires'] = $expires;
 389     }
 390     if ($session_secret != null) {
 391       $cookies['ss'] = $session_secret;
 392     }
 393
 394     foreach ($cookies as $name => $val) {
 395       setcookie($this->api_key . '_' . $name, $val, (int)$expires, '', $this->base_domain);
 396       $_COOKIE[$this->api_key . '_' . $name] = $val;
 397     }
 398     $sig = self::generate_sig($cookies, $this->secret);
 399     setcookie($this->api_key, $sig, (int)$expires, '', $this->base_domain);
 400     $_COOKIE[$this->api_key] = $sig;
 401
 402     if ($this->base_domain != null) {
 403       $base_domain_cookie = 'base_domain_' . $this->api_key;
 404       setcookie($base_domain_cookie, $this->base_domain, (int)$expires, '', $this->base_domain);
 405       $_COOKIE[$base_domain_cookie] = $this->base_domain;
 406     }
 407   }
 408
 409   /**
 410    * Tries to undo the badness of magic quotes as best we can
 411    * @param     string   $val   Should come directly from $_GET, $_POST, etc.
 412    * @return    string   val without added slashes
 413    */
 414   public static function no_magic_quotes($val) {
 415     if (get_magic_quotes_gpc()) {
 416       return stripslashes($val);
 417     } else {
 418       return $val;
 419     }
 420   }
 421
 422   /*
 423    * Get the signed parameters that were sent from Facebook. Validates the set
 424    * of parameters against the included signature.
 425    *
 426    * Since Facebook sends data to your callback URL via unsecured means, the
 427    * signature is the only way to make sure that the data actually came from
 428    * Facebook. So if an app receives a request at the callback URL, it should
 429    * always verify the signature that comes with against your own secret key.
 430    * Otherwise, it's possible for someone to spoof a request by
 431    * pretending to be someone else, i.e.:
 432    *      www.your-callback-url.com/?fb_user=10101
 433    *
 434    * This is done automatically by verify_fb_params.
 435    *
 436    * @param  assoc  $params     a full array of external parameters.
 437    *                            presumed $_GET, $_POST, or $_COOKIE
 438    * @param  int    $timeout    number of seconds that the args are good for.
 439    *                            Specifically good for forcing cookies to expire.
 440    * @param  string $namespace  prefix string for the set of parameters we want
 441    *                            to verify. i.e., fb_sig or fb_post_sig
 442    *
 443    * @return  assoc the subset of parameters containing the given prefix,
 444    *                and also matching the signature associated with them.
 445    *          OR    an empty array if the params do not validate
 446    */
 447   public function get_valid_fb_params($params, $timeout=null, $namespace='fb_sig') {
 448     $prefix = $namespace . '_';
 449     $prefix_len = strlen($prefix);
 450     $fb_params = array();
 451     if (empty($params)) {
 452       return array();
 453     }
 454
 455     foreach ($params as $name => $val) {
 456       // pull out only those parameters that match the prefix
 457       // note that the signature itself ($params[$namespace]) is not in the list
 458       if (strpos($name, $prefix) === 0) {
 459         $fb_params[substr($name, $prefix_len)] = self::no_magic_quotes($val);
 460       }
 461     }
 462
 463     // validate that the request hasn't expired. this is most likely
 464     // for params that come from $_COOKIE
 465     if ($timeout && (!isset($fb_params['time']) || time() - $fb_params['time'] > $timeout)) {
 466       return array();
 467     }
 468
 469     // validate that the params match the signature
 470     $signature = isset($params[$namespace]) ? $params[$namespace] : null;
 471     if (!$signature || (!$this->verify_signature($fb_params, $signature))) {
 472       return array();
 473     }
 474     return $fb_params;
 475   }
 476
 477   /**
 478    *  Validates the account that a user was trying to set up an
 479    *  independent account through Facebook Connect.
 480    *
 481    *  @param  user The user attempting to set up an independent account.
 482    *  @param  hash The hash passed to the reclamation URL used.
 483    *  @return bool True if the user is the one that selected the
 484    *               reclamation link.
 485    */
 486   public function verify_account_reclamation($user, $hash) {
 487     return $hash == md5($user . $this->secret);
 488   }
 489
 490   /**
 491    * Validates that a given set of parameters match their signature.
 492    * Parameters all match a given input prefix, such as "fb_sig".
 493    *
 494    * @param $fb_params     an array of all Facebook-sent parameters,
 495    *                       not including the signature itself
 496    * @param $expected_sig  the expected result to check against
 497    */
 498   public function verify_signature($fb_params, $expected_sig) {
 499     return self::generate_sig($fb_params, $this->secret) == $expected_sig;
 500   }
 501
 502   /**
 503    * Validate the given signed public session data structure with
 504    * public key of the app that
 505    * the session proof belongs to.
 506    *
 507    * @param $signed_data the session info that is passed by another app
 508    * @param string $public_key Optional public key of the app. If this
 509    *               is not passed, function will make an API call to get it.
 510    * return true if the session proof passed verification.
 511    */
 512   public function verify_signed_public_session_data($signed_data,
 513                                                     $public_key = null) {
 514
 515     // If public key is not already provided, we need to get it through API
 516     if (!$public_key) {
 517       $public_key = $this->api_client->auth_getAppPublicKey(
 518         $signed_data['api_key']);
 519     }
 520
 521     // Create data to verify
 522     $data_to_serialize = $signed_data;
 523     unset($data_to_serialize['sig']);
 524     $serialized_data = implode('_', $data_to_serialize);
 525
 526     // Decode signature
 527     $signature = base64_decode($signed_data['sig']);
 528     $result = openssl_verify($serialized_data, $signature, $public_key,
 529                              OPENSSL_ALGO_SHA1);
 530     return $result == 1;
 531   }
 532
 533   /*
 534    * Generate a signature using the application secret key.
 535    *
 536    * The only two entities that know your secret key are you and Facebook,
 537    * according to the Terms of Service. Since nobody else can generate
 538    * the signature, you can rely on it to verify that the information
 539    * came from Facebook.
 540    *
 541    * @param $params_array   an array of all Facebook-sent parameters,
 542    *                        NOT INCLUDING the signature itself
 543    * @param $secret         your app's secret key
 544    *
 545    * @return a hash to be checked against the signature provided by Facebook
 546    */
 547   public static function generate_sig($params_array, $secret) {
 548     $str = '';
 549
 550     ksort($params_array);
 551     // Note: make sure that the signature parameter is not already included in
 552     //       $params_array.
 553     foreach ($params_array as $k=>$v) {
 554       $str .= "$k=$v";
 555     }
 556     $str .= $secret;
 557
 558     return md5($str);
 559   }
 560
 561   public function encode_validationError($summary, $message) {
 562     return json_encode(
 563                array('errorCode'    => FACEBOOK_API_VALIDATION_ERROR,
 564                      'errorTitle'   => $summary,
 565                      'errorMessage' => $message));
 566   }
 567
 568   public function encode_multiFeedStory($feed, $next) {
 569     return json_encode(
 570                array('method'   => 'multiFeedStory',
 571                      'content'  =>
 572                      array('next' => $next,
 573                            'feed' => $feed)));
 574   }
 575
 576   public function encode_feedStory($feed, $next) {
 577     return json_encode(
 578                array('method'   => 'feedStory',
 579                      'content'  =>
 580                      array('next' => $next,
 581                            'feed' => $feed)));
 582   }
 583
 584   public function create_templatizedFeedStory($title_template, $title_data=array(),
 585                                     $body_template='', $body_data = array(), $body_general=null,
 586                                     $image_1=null, $image_1_link=null,
 587                                     $image_2=null, $image_2_link=null,
 588                                     $image_3=null, $image_3_link=null,
 589                                     $image_4=null, $image_4_link=null) {
 590     return array('title_template'=> $title_template,
 591                  'title_data'   => $title_data,
 592                  'body_template'=> $body_template,
 593                  'body_data'    => $body_data,
 594                  'body_general' => $body_general,
 595                  'image_1'      => $image_1,
 596                  'image_1_link' => $image_1_link,
 597                  'image_2'      => $image_2,
 598                  'image_2_link' => $image_2_link,
 599                  'image_3'      => $image_3,
 600                  'image_3_link' => $image_3_link,
 601                  'image_4'      => $image_4,
 602                  'image_4_link' => $image_4_link);
 603   }
 604
 605
 606 }
 607