sne*_*egi 8 google-authentication oauth-2.0 google-oauth openid-connect
我正在评估Google提供的用于在我的网络应用程序中添加Google登录的可能选项.我看到的可能选项是
我没有使用第一个,因为它限制了我可以在一天到10000的API调用
在2和3中,我倾向于获得第3名.我真的不需要API授权,在我的情况下我并不担心访问令牌过期.一旦我从Google收到用户个人资料,我的网络应用就会管理自己的用户会话,而无需向Google查询与用户相关的任何其他数据.根据Google文档,#3允许我自定义用户同意屏幕,而1和2不允许.
我对2和3之间的比较有何评论?
实际上,2.由Google特定的OAuth 2.0使用/扩展组成,用于在核心OAuth 2.0提供的授权之上建立用户身份.使用2.你必须确保你只能获得访问令牌的code流量,你就必须执行特定的谷歌呼吁反省,找出用户是谁,用户的身份在谷歌具体主张返回.
另一方面,3.是一种通过第三方提供商登录用户的标准化方式,因此它是未来的安全选择,您可以在库/ sdk中找到更多支持(至少在不久的将来).
| 归档时间: |
|
| 查看次数: |
1789 次 |
| 最近记录: |