0

Google+ サインイン ボタンの実装でワンタイム コード フローを使用していますが、tokeninfo エンドポイントからの応答の user_id が、javascript コールバックがサインイン ボタンから受け取るオブジェクトの id_token と一致しません。

ドキュメントのサンプル コードでは、tokeninfo オブジェクトの user_id が gplus_id というリクエスト パラメータに対してチェックされますが、サンプルの JavaScript はこのパラメータを送信しないため、正しいことに対してチェックしているかどうかわかりません。

だから、私が話しているコードの特定のセクションについて明確にするために:

ワンタイム コードは、このサンプル コードを使用してサーバー上で処理され、 gplus_id というリクエスト パラメータを使用します。

このセクションのコードはワンタイム コードをサーバーに送信しますが、ご覧のとおり、gplus_id は送信しません。

4

1 に答える 1

2

サンプル ページの手順 6 が不完全なようで、gplus_id を送信するはずですが、送信されていません。

ユーザーの_ ID をサーバーに渡して確認します。

(そして、ドキュメントの責任者に ping を実行して、クイックスタートの例でドキュメントを更新し、プラットフォーム全体で一貫性を持たせるようにします。バグ 573を追跡して、ドキュメントの修正の進行状況を確認することもできます。)

: ただし、gplus_id の送信は少し冗長であることに注意してください。クライアントから送信されたコードを既に信頼しており、コードから派生した手順で ID を取得しています。そのため、gplus_id を渡してチェックすることは適切なサニティ チェックですが、実際には追加のセキュリティは得られません。

于 2013-05-25T12:23:56.583 に答える