1. Zuhause
  2. Frage und Antwort
  3. Google Oauth 2.0 minimale Benutzerinteraktion

Google Oauth 2.0 minimale Benutzerinteraktion

2016-05-03 25 views
0

Wir haben eine Anforderung, unsere Benutzer möchten mit verschiedenen Google APIs interagieren und daher benötigen wir OAuth2.0-Autorisierung gegen Google Authorization Server.Google Oauth 2.0 minimale Benutzerinteraktion

Unsere Einschränkung ist, dass wir ein einziges Webseiten-Frontend verwenden und NICHT von unserer Seite weg umleiten möchten, um Benutzerautorisierung zu erhalten.

Im Idealfall würde der Benutzer eine Box aktivieren oder auf eine Schaltfläche auf unserer Webseite klicken. Mit dieser Eingabe würden wir dann Zugriffstoken und Aktualisierungstoken erhalten, ohne dass der Benutzer direkt mit Google interagiert. Wäre solch eine Idee möglich oder ist eine Form der Benutzerinteraktion ein Muss im ersten Schritt?

Wir haben einige Hinweise zum Piggybacking mit Oauth2.0 und OpenConnectId gelesen, wir sind jedoch unsicher in Bezug auf die Anwendbarkeit für ein solches Szenario. Jede Beratung oder Eingabe würde

Vielen Dank im Voraus geschätzt werden

Quelle

2016-05-03 Opelmac

+0

Wenn Sie sich bei Google authentifizieren möchten, müssen Sie die Authentifizierungswebseite anzeigen. Es gibt keinen Weg dahin. Nachdem Sie die Authentifizierung autorisiert haben, speichern Sie das Aktualisierungstoken und Sie müssen nicht erneut nach dem Zugriff fragen. – DaImTo

+0

Wir dachten, dass mehr Hoffnung als alles, danke für die Eingabe – Opelmac

Antwort

0

Ich denke, man den Fluss der Aktualisierungs-Token von OAuth2 müssen.

Refresh Token von OAuth2:

Ein Aktualisierungs-Token ist eine Zeichenfolge, die der Kunde von der Ressourceneigentümer zu erteilte Genehmigung darstellt. Die Zeichenfolge ist normalerweise für den Client undurchsichtig für . Das Token bezeichnet eine Kennung, die zum Abrufen der Autorisierungsinformationen verwendet wird. Im Gegensatz zu Zugriffstoken sind Aktualisierungstokens , die nur zur Verwendung mit Autorisierungsservern vorgesehen sind und nie an Ressourcenserver gesendet werden.

Die Strömung in 2 dargestellt umfasst die folgenden Schritte:

(A) Der Client fordert einen Zugriffstoken mit dem Autorisierungsserver durch Authentifizieren und eine Berechtigungserteilungs präsentiert.

(B) Der Autorisierungsserver authentifiziert den Client und validiert die Autorisierungsgewährung und gibt, falls gültig, ein Zugriffstoken und ein Aktualisierungstoken aus.

(C) Der Client stellt eine geschützte Ressourcenanforderung an die Ressource Server, indem er das Zugriffstoken präsentiert.

(D) Der Ressourcenserver validiert das Zugriffstoken und, falls gültig, bedient die Anfrage.

(E) Schritte (C) und (D) wiederholen, bis das Zugriffstoken abläuft. Wenn der Client weiß, dass das Zugriffstoken abgelaufen ist, wird zu Schritt (G) übergegangen; Andernfalls wird eine weitere geschützte Ressourcenanforderung ausgeführt.

(F) Da das Zugriffstoken ungültig ist, gibt der Ressourcenserver einen ungültigen Tokenfehler zurück.

(G) Der Client fordert ein neues Zugriffstoken an, indem er sich mit dem Authentifizierungsserver authentifiziert und das Aktualisierungstoken darstellt. Die Clientauthentifizierungsanforderungen basieren auf dem Clienttyp und den Autorisierungsserverrichtlinien.

(H) Der Autorisierungsserver authentifiziert den Client und validiert das Aktualisierungs-Token . Wenn dies der Fall ist, wird ein neues Zugriffstoken (und optional ein neues Aktualisierungs-Token) ausgegeben ( ).

Resource Refs

Nach Sie Landschaft, können Sie versuchen, Ajax-Aufruf zu verwenden, um Ihre Anforderungen zu erfüllen.

Quelle

2016-05-03 07:43:41 CrawlingKid

+0

Meinst du im Einklang mit: versteckte div, die nur bevölkert ist und zeigen, wenn eine Weiterleitungs-URL empfangen wird, und zeigt die Webseite dort? – Opelmac

Verwandte Themen

 Verwandte Themen