解密 OAuth 2.0 访问令牌

正如其他人所指出的那样，access_token是唯一的随机字符串，因此不能被解密。此外，我们都知道在生成令牌之前，user_id和app_id是必备的。

然而，假设您将令牌存储在数据库中并且丢失了相关的user_id和app_id，这时只有手头上的令牌，您可能会想知道如何检索它们。如果您的令牌仍然有效，这是可能的。如果已过期，则无能为力。

要检索user_id，请调用以下内容：

https://graph.facebook.com/me?fields=id&access_token=xxx

要检索 app_id，请调用以下函数：

https://graph.facebook.com/app?fields=id&access_token=xxx

无论access_token是加密还是未加密的，相关的id都将作为JSON响应的一部分。让我们通过一个例子来说明这一点。假设马克·扎克伯格使用Graph API Explorer生成了一个access_token。调用/me端点会给你返回：

{
  "id": "68310606562"
}

调用 /app 端点会返回：

{
  "id": "145634995501895"
}

你寻找的ID是响应的一部分。

请注意，这 不适用于 在 https://developers.facebook.com/apps 上显示的access_token（不确定这是Facebook的错误还是有意为之）。请使用通过OAuth授权流程获得的access_token。

如果访问令牌以加密格式存在，则没有编程方法可以确定用户ID和应用程序ID。
我很难想象你如何在没有这两个信息的情况下获得访问令牌，因为假设你知道自己的应用程序ID和存储访问令牌的用户ID。
尽管如此，假设有一个合法的用例：调用/me?fields=id将返回用户ID，或者您可以使用https://developers.facebook.com/tools/debug上的调试工具来调试访问令牌的其他属性。

通常情况下，您使用access_token从应用程序中访问其他数据。例如，您的应用程序将对用户进行身份验证，然后使用访问令牌访问FB API中的其他功能，如图形：

https://graph.facebook.com/me?access_token=<access_token>

如果您仔细查看访问令牌本身，这实际上是一个非常简单的任务。它由3个段组成，由管道字符|分隔：

APP_ID|SOME_STUFF.NUMBER-USERID|SOME_MORE_STUFF

我不确定SOME_STUFF，NUMBER和SOME_MORE_STUFF是什么；可能是时间戳、签名或其他编码数据，Facebook使用它们来跟踪access_token的有效性等。

除非你是通过不当手段获得了相关的access_token，否则我认为从中访问APP_ID和USER_ID并没有问题（显然Facebook也是这样认为的）。所以我只想说要负责任 :)

另一件事需要记住的是，这并不是一个标准或任何东西，并且可能会发生改变。所以也要注意这一点。

没有公开的方法可以解密访问令牌以获取用户ID和应用程序ID。这很可能也是违反Facebook政策的严重漏洞。

首先，要获得访问令牌，您必须已经拥有用户和应用程序ID的访问权限，因此您不应该需要这样做。如果您实际上没有访问用户或应用程序ID，则我的猜测是您可能甚至不应该拥有他们的访问令牌，并且可能已经“非法”地获得了它...

你不需要解密访问令牌

就AppID而言，当你在Facebook上创建应用程序时，你应该从那里获取它，这是连接到Facebook的ID。

Facebook会随着访问令牌一起发送userId。 只需检查浏览器中的cookie或在oauth情况下检查请求访问令牌时返回的整个字符串即可。

你确定你说的是Access Token而不是签名请求吗？
当你的Facebook应用程序被加载时，你会有一个签名请求对象，其中包含了我认为你正在寻找的信息（但是如果用户没有授权你的应用程序，他们的用户ID将不会出现在签名请求中，这是Facebook的安全机制）。

目前唯一可用的方法是使用Facebook Access Token Lint工具。您可以考虑自动化这个过程。