Primeiro, eu sounão procurando o token de acesso de uma conta do facebook.

Eu (ou meu bot do facebook messenger) preciso do token de acesso de uma conta de terceiros vinculada.
A conta foi vinculada com sucesso, conforme descrito aqui:https://developers.facebook.com/docs/messenger-platform/identity/account-linking

Um pouco fora do tópico: o primeiro problema que notei que não atende às especificações do OIDC / OAuth2 é que oredirecionar URI dado ao/autorizar ponto final espera um parâmetro "Código de autorização" ao invés de"código" com o realCódigo de autorização. Ok, é bom não usarmos software de prateleira para o IdP, então eu poderia consertar isso. Ainda.

Agora, estou acostumado com o link da conta Amazon Alexa para permitir que a amazon faça o gerenciamento de tokens, atualize etc., e entregue a terceirostoken de acesso com todo pedido.

Mas não com o Facebook, ao que parece. Tanto quanto eu consegui entender (não pelos documentos, mas por tentativa e erro), para o Facebook Messenger, o vínculo da conta termina assim que eles recebem oCódigo de autorização (e chame um webhook associado). Mas desde que eu preciso de um realtoken de acesso para cada solicitação ao meu bot, isso não vai ajudar muito.

Agora parece que eu tenho que estender meu bot para ser um cliente OAauth2 / OIDC completo, mas não padronizado (incluindo manipulação de token, atualização etc.) com alguns problemas:

como verificar a validade do URI de redirecionamento?deve ser o mesmo da solicitação inicialcomo validar o código de autorização?lembre-se, normalmente esse bot não possui conexões / acesso ao banco de dados do IdPcomo vincular isso a um ID de usuário específico do facebook?

Minha pergunta agora é: como lidar com esse comportamento quando pretendo usar software padronizado para o IdP OAuth / OIDC? Alguma ideia?

Agradecemos antecipadamente Thomas

EDITAR: Para esclarecer o significado de "vinculação de conta": não estou interessado na conta do facebook dos usuários, quero acessar as informações de uma conta de terceiros (fornecida com o meu serviço real) desse usuário. Por exemplo, uma chamada como "Quantas fotos existem na minha conta do tumblr" precisará que o cliente vincule a conta do tumblr a esse bot do messenger do facebook.

Para comparação: isso funcionou extremamente bem com o Alexa e o Google Actions da Amazon. Eu simplesmente tive que inserir as credenciais do cliente e os pontos finais do OAuth, e é isso. Se o usuário vinculou com êxito a conta de terceiros, recebo um token de acesso com todas as consultas ao meu back-end, conforme o esperado.

EDIT2: como apontado por CBroe, isso não é suportado pelo Facebook. Somente é possível "vincular" os IDs do usuário.