Google OAuth2 Reauthorization fehlt Berechtigungen auf der Zustimmungsseite

Question

Wenn ich einen Benutzer erzwinge, meine Anwendung ein zweites Mal zu autorisieren, mithilfe von approval_prompt=force, wie kann ich Google den Benutzer die vollständige Liste der Berechtigungen meiner App zeigen anfordern?

Details:

Ich habe eine Web-Anwendung, die eine Reihe von Google-API-Berechtigungen, einschließlich access_type=offline anfordert. Das erste Mal, dass ich es genehmigen, zeigt es die richtige Zustimmung Seite, alle Berechtigungen Auflistung, die wie folgt aussieht:

Später habe ich den Benutzer senden mit den gleichen Parametern mit Google, zu genehmigen zurück. Das zweite Mal, es zeigt nur „Offline-Zugriff haben“:

Warum ist es nicht der Benutzer alle Berechtigungen zeigen? Gibt es eine Möglichkeit, es zu zwingen, den Benutzer ein zweites Mal nach allen Berechtigungen zu fragen? Warum zeigt es jetzt zum ersten Mal "Offline-Zugriff"?

Unsere Benutzer finden es verwirrend, dass unsere App keine tatsächlichen Berechtigungen verlangt, also würde ich lieber nur den ersten Zustimmungsbildschirm anzeigen.

Die vollständigen Parameter für die Anforderung, die ich mache, sind wie folgt. URL:

https://accounts.google.com/o/oauth2/auth?access_type=offline&approval_prompt=force&client_id=1039955146864.apps.googleusercontent.com&redirect_uri=http://localhost:8081/sync/google/callback&response_type=code&scope=openid%20email%20https://www.googleapis.com/auth/admin.directory.group.readonly%20https://www.googleapis.com/auth/admin.directory.group.member.readonly%20https://www.googleapis.com/auth/admin.directory.user.readonly&state=480704597031619284232891277399900450622 

Parameter ausgebrochen:

access_type:offline 
approval_prompt:force 
client_id:1039955146864.apps.googleusercontent.com 
redirect_uri:http://localhost:8081/sync/google/callback 
response_type:code 
scope:openid email https://www.googleapis.com/auth/admin.directory.group.readonly https://www.googleapis.com/auth/admin.directory.group.member.readonly https://www.googleapis.com/auth/admin.directory.user.readonly 
state:480704597031619284232891277399900450622 

Answer 1

Wir starteten inkrementelle Auth und dies ist das so vorgesehen.

http://googleplusplatform.blogspot.com/2013/12/google-sign-in-improvements11.html

Die Idee ist, wenn ein Benutzer bereits die Berechtigungen eine App erteilt hat, besteht keine Notwendigkeit, die gleichen Berechtigungen zu zeigen und den Benutzer auffordern, zu genehmigen.

Wenn Sie Ihre Anwendung richtig schreiben, sollte diese Situation nicht auftreten. Wenn Sie einen Offline-Code (Refresh-Token) anfordern und auf Ihrem Backend speichern, sollten Sie nicht mehr danach gefragt werden, es sei denn, Sie müssen einige neue Bereiche/Berechtigungen erhalten. Sie sollten das Aktualisierungstoken verwenden, das Sie in der Zukunft gespeichert haben. Wenn Sie das Zugriffstoken nur benötigen, wenn sich der Benutzer auf Ihrer Site befindet, können Sie mit anderen Flows ein Zugriffstoken anfordern, ohne dass der Benutzer eine Genehmigungsseite sieht.

Answer 2

Sie müssen das Zugriffstoken widerrufen und sich abmelden. Wenn Sie sich dann anmelden, wird die Erlaubnis angezeigt.

public static void RevokeAcess(String accessOrRefreshToken) throws ClientProtocolException, IOException 
{ 
    HttpClient client = new DefaultHttpClient(); 
    HttpPost post = new HttpPost("https://accounts.google.com/o/oauth2/revoke?token="+accessOrRefreshToken); 
    client.execute(post); 
} 

Dieses Netzwerk Prozess sollte