每次他使用Google OAuth時,我都需要詢問用戶密碼。 有一個選項我使用「max_auth_age」,但它停止工作。 有沒有這個選項的替代品。如果沒有 - 請問我可以在哪裏向Google提交「功能請求」等內容以恢復此功能。 謝謝。Google OAuth-2如何在每次登錄時詢問用戶密碼?
UPD 我已閱讀可能重複的主題,並試圖用MAX_AGE代替max_auth_age。它沒有幫助。
P.S我知道的OAuth2的主要思想不使用任何密碼提示,但它的客戶的需求。他擔心,如果有人忘記從Gmail註銷,那麼不允許使用系統的人可以在共享計算機上訪問。
從安全點的角度來看,這實際上是不要求輸入密碼,當用戶嘗試重新登錄一個問題...嘗試想象有人做您的Web應用程序註銷並離開PC /筆記本電腦/平板電腦/智能手機單獨......並不斷想象自己對您的應用程序有明智的信息,例如個人數據,或控制他家中的物聯網!任何人都可以在您的Web App內輸入他的賬戶,只需要點擊1次或2次。這是一個真正的安全問題!
的Facebook的oauth2簽署允許開發人員選擇適合其應用的「重新驗證」選項,這樣當用戶再次選擇登錄,他要求他再次輸入密碼。從安全角度來看,這是自然而正確的事情。
從用戶及其安全的角度來看,應該夠做註銷。作爲開發者,您應該爲您的用戶提供安全的註銷。問題是,在目前的一天,你不能提供通過一些網站如谷歌或Twitter,例如使用OAuth用戶提供安全退出...... :-(
最好的問候! BCM
除了BCM的擔憂之外,在學校等公共場所也存在一個嚴重的問題,那就是不同的學生在上學的時候使用同一臺計算機,通常這些計算機共享一個通用登錄到操作系統本身(如windows),如果沒有需要在Web應用程序重新認證的方式,學生們將在一個使用彼此的日誌,即使他們不打算這樣做。
你不應該在這一切DEFEA被要求有密碼的用戶完全符合Oauth2的目的。唯一接近的就是approval_prompt =強制它會告訴他們他們需要重新驗證你的應用程序。 https://developers.google.com/identity/protocols/OAuth2WebServer – DaImTo
的可能重複【提示用戶輸入密碼 - 谷歌ID連接(http://stackoverflow.com/questions/30627766/prompt-user-to-enter -password-谷歌-OpenID的連接) –