幾個月前我們爲我們的網站實施了Google OAuth。到目前爲止,兩個用戶(約100人)的userinfo配置文件不完整。我們使用有效令牌打電話給'https://www.googleapis.com/oauth2/v1/userinfo?',並且響應json僅包含[locale,verified_email,email,id]。Google的UserInfo API是否提供任何擔保?
的文檔(https://developers.google.com/accounts/docs/OAuth2Login#userinfocall)不明確的,但我理解他們的方式,
的響應應該包括: [ID,電子郵件,verified_email,姓名,GIVEN_NAME,FAMILY_NAME,時區,性別] 和有時包括: [圖片,區域設置]
有誰知道UserInfo API有哪些類型的保證?我應否拒絕不完整的檔案爲無效?是否有其他解釋爲什麼配置文件不完整?
UPDATE 3/6/14
我能夠複製這個問題。我們向用戶發送關閉以谷歌請求,兩個作用域:
https://www.googleapis.com/auth/userinfo.profile
和
https://www.googleapis.com/auth/userinfo.email
到目前爲止,我可以告訴谷歌不允許用戶挑選櫻桃作用域其中它們允許。這是全部或沒有。但是,我能夠從URL中移除userinfo.profile範圍並重新加載頁面。這使我發回了一個有效的令牌,但不是正確的範圍。我需要擊中tokeninfo端點並確保正確的範圍已被授權。
我不知道我理解你的答案。澄清我們不使用OpenID。我們正在使用服務器端工作流程。用戶被退回到谷歌的OAuth頁面,返回一個「代碼」,通過「https://accounts.google.com/o/oauth2/token」端點爲代幣交換(服務器端) – Charles 2013-03-06 23:02:30