我完全懂你这个头疼的问题——不能开新窗口，弃用FB.login()后用手动流程，结果跳去Facebook的默认success页就卡那回不来了。核心问题出在你用了Facebook的默认redirect_uri，得换成你自己网站的页面才行，下面给你一步步拆解解决方案：

1. 替换redirect_uri为你自己的回调页面 #

绝对不能用https://www.facebook.com/connect/login_success.html，得把redirect_uri设置成你自己域名下的一个专门处理回调的页面，比如https://你的网站域名/fb-login-callback.html。而且必须提前在Facebook开发者后台的「产品 > Facebook登录 > 设置」里，把这个回调地址添加到「有效的OAuth重定向URI」列表里，不然Facebook会直接拒绝跳转。

2. 正确构建手动登录URL #

你需要把所有必要参数拼到Facebook的OAuth授权URL里，示例格式如下：

https://www.facebook.com/v18.0/dialog/oauth?
client_id=你的Facebook应用ID&
redirect_uri=https://你的网站域名/fb-login-callback.html&
scope=email&
response_type=code&
state=随机生成的防CSRF字符串

• response_type=code：用授权码模式，这是最安全的方式（后续用服务器端换access_token，避免暴露app_secret）
• state：一定要加，生成一个随机字符串存在用户会话里，回调时验证，防止CSRF攻击

3. 回调页面的处理逻辑 #

当用户完成Facebook登录后，会自动跳转到你设置的fb-login-callback.html，此时URL里会带有code和state参数：

• 首先验证state和你之前存的是否一致，确保请求合法
• 然后把code发送到你的服务器端，由服务器调用Facebook的token接口换access_token：

  POST https://graph.facebook.com/v18.0/oauth/access_token
  参数：
  client_id=你的APP_ID&
  client_secret=你的APP_SECRET&
  redirect_uri=https://你的网站域名/fb-login-callback.html&
  code=用户回调带来的code
  

• 服务器拿到access_token后，调用Facebook的Graph API获取用户信息（比如GET https://graph.facebook.com/me?fields=id,name,email&access_token=xxx）
• 最后服务器创建用户会话，跳回你的网站主页面或者用户之前访问的页面

如果实在没办法用服务器端处理（不推荐，因为会暴露app_secret），可以把response_type改成token，此时回调URL里会直接带access_token，你可以在前端解析后调用Graph API，然后跳回主页面，但一定要注意安全风险（比如token泄露）。

4. 当前页面跳转的注意事项 #

因为不能开新窗口，你可以用window.location.href = 构建好的登录URL来在当前页面跳转到Facebook登录页，用户登录完成后会自动跳回你的回调页面，整个流程是连贯的。

内容的提问来源于stack exchange，提问作者zhiyong shen