0

Google oauth2を 使用して、ユーザーが既存の Google アカウントを使用してシステムにログインできるようにしています。

認証された後、例のアプリでアクティブなユーザー セッションを管理する適切な方法は何ですか。

ユーザーが Google アカウント A を使用してシステムにログインしたとします。その後、ユーザーは Google アカウントをログアウト/アカウント B に変更しますが、アプリ内ではなく gmail から変更します。また、アプリから彼をログアウトする必要がありますか??? (これは、特定の時間に特定のユーザーがGoogleサービスにログインしていることを確認するためのGoogle APIが必要になるとすぐに奇妙で不可能に思えます)。

私にとって妥当と思われる唯一の方法は、指定されたタイムアウトの後にユーザー セッションを無効にすることであり、その場合にのみ、ユーザーに oauth2 認証フローを再パスさせることができます。

よろしくお願いします。

4

1 に答える 1

2

Google OAuth2 ログイン フローからの取得はaccess_token、さまざまな Google アプリ (gmail など) のログイン セッションと結合されていません。id_token

ユーザーが Gmail からログアウトしたことをアプリが知る方法はありません。アプリは気にする必要はありません。

Web アプリが、最初のログインに使用されたアカウントをユーザーに明らかにする場合 (ユーザー名/画像、またはGoogle ユーザー情報の呼び出しから取得したその他の情報を表示することによって)は問題ありません。

たとえば、ほとんどのユーザーは、Web アプリケーション セッションを gmail セッションにリンクしようとはしません。

于 2013-07-13T07:55:08.930 に答える