我想了解一些事情.我有一个基于oAuth2和Google帐户的应用程序.
所以,第一次连接到这个网站时,我被重定向到Google域上的身份验证页面.所以我输入我的电子邮件和密码,我不检查"可信计算机"(或"记住我",我不记得确切的术语).
问题是,如果我重新启动计算机甚至删除我的cookie(但不是我的历史记录(在Android手机上使用Chrome测试),我不会再次提示我进行身份验证,我可以直接访问该应用程序.
我想明白为什么?如果有人能向我解释这应该是伟大的!
谢谢
小智 10
实际上,您可以通过传递&max_auth_age=0到身份验证网址强制在Google OAuth API中重新进行身份验证.
资源:
使用PAPE扩展进一步控制用户身份验证(可选)使用PAPE扩展中的max_auth_age参数确保Google用户的登录会话是最近的.您还可以指定max_auth_age = 0以强制密码重新提示.
https://developers.google.com/accounts/docs/OpenID
这有点令人困惑,因为他们谈论OpenID,但我正在使用Google提供的OAuth2库成功地做到这一点.
很难说,因为这取决于执行的流程。
通常(使用 oauth)不会提示您进行身份验证。系统会提示您授权。一旦您授权,就不会再次提示您,当然前提是浏览器/谷歌存在某种可识别用户的会话。
当您说“删除我的 cookie”时,是哪个 cookie?
您可以尝试访问此页面https://accounts.google.com/b/0/IssuedAuthSubTokens?hl=en_GB并撤销权限。这应该会导致重复提示。
| 归档时间: |
|
| 查看次数: |
4872 次 |
| 最近记录: |