嘿，这个需求我之前也琢磨过，直接把账号密码写进代码里拿Token的路子现在根本走不通，原因和靠谱的解决办法我给你掰扯清楚：

为啥不能直接用账号密码获取Token？ #

Facebook的Graph API早就把密码认证流（Password Grant）给禁用了，一来是安全问题——把用户密码硬编码在代码里，泄露风险拉满；二来这种自动化登录的行为违反Facebook的平台政策，很容易触发风控，搞不好账号或者开发者应用直接被封，得不偿失。

正确的解决方案：OAuth 2.0授权码流 + Refresh Token #

官方推荐的方式是通过OAuth 2.0授权码流获取Token，再搭配Refresh Token实现长期自动刷新，只需要用户手动授权一次，之后就能自动维护有效Token了，具体步骤如下：

• 创建并配置Facebook开发者应用

  • 先去Facebook开发者平台注册一个应用，拿到APP_ID和APP_SECRET。
  • 配置OAuth的回调地址（哪怕是本地的http://localhost:8080/callback都行，个人脚本用的话可以临时搭个简单的小服务接收回调）。

• 引导用户完成首次授权

  • 生成授权URL，让用户打开这个链接，登录自己的Facebook账号并授权你的应用。授权成功后会跳转到你配置的回调地址，带回一个authorization code。
  • 用这个授权码兑换Access Token和Refresh Token：

    FacebookClient client = new DefaultFacebookClient(Version.LATEST);
    AccessToken accessToken = client.obtainAccessToken(APP_ID, APP_SECRET, "http://localhost:8080/callback", AUTHORIZATION_CODE);
    String accessTokenStr = accessToken.getAccessToken();
    String refreshTokenStr = accessToken.getRefreshToken();
    // 把refreshTokenStr加密后安全存储（比如存在本地加密文件或者小型数据库里）
    

• 定期用Refresh Token刷新Access Token

  • Access Token是有有效期的，但Refresh Token有效期很长（只要用户不主动取消对你应用的授权）。每次需要发布帖子前，你可以用Refresh Token获取新的有效Access Token：

    // 从安全存储中取出之前保存的refreshTokenStr
    AccessToken newAccessToken = client.obtainExtendedAccessToken(APP_ID, APP_SECRET, refreshTokenStr);
    String validToken = newAccessToken.getAccessToken();
    // 用新的有效Token初始化客户端，之后就能正常调用发布接口了
    FacebookClient validClient = new DefaultFacebookClient(validToken);
    User user = validClient.fetchObject("me", User.class);
    validClient.publish("me/feed", FacebookType.class, Parameter.with("message", "自动发布的Hello World！"));
    

必须注意的点 #

• 别想着绕开OAuth流程去模拟登录，Facebook的反爬和风控机制特别严，一旦检测到异常行为，账号或应用直接凉凉。
• Refresh Token一定要妥善加密存储，绝对不能明文写在代码里，避免泄露后导致账号被盗用。

内容的提问来源于stack exchange，提问作者Bobby