谷歌 Oauth 2.0 注销

Posted 2023-02-19

【中文标题】谷歌 Oauth 2.0 注销

【英文标题】：Google Auth2.0 log out

【发布时间】：2013-05-07 23:34:53

【问题描述】：

我目前正在尝试创建一个用户可以使用其 google+ 帐户登录的网站。大部分都在工作。我让他们授予对我网站的访问权限。他们可以登录，我会得到他们的姓名和用户 ID，然后我会在我的网站上显示特定于他们的 google 帐户的内容。

但是当其他人想要登录并且我尝试“退出”该站点时，谷歌登录仍然记得它刚刚登录并且在退出后它会立即运行代码以再次登录。如果我从谷歌删除 SSID cookie，它不会这样做，所以我假设谷歌存储我刚刚使用 x 登录的事实。

有没有办法在我注销时让谷歌不立即使用同一个帐户登录，而是询问谷歌用户的电子邮件和密码？

我觉得我在这里遗漏了一些明显的东西，但我不知道如何处理。

我用来验证和获取数据的代码：

 <button class ="btn btn-primary" id="authorize-button" style="visibility: hidden">Log in</button>

<script>

  var clientId = '';

  var apiKey = '';

  var scopes = '';


  function handleClientLoad() 

    gapi.client.setApiKey(apiKey);
    window.setTimeout(checkAuth,1);
  

  function checkAuth() 
   //alert("authorize");
    gapi.auth.authorize(client_id: clientId, scope: scopes, immediate: true, handleAuthResult);
  


  function handleAuthResult(authResult) 
     //alert("authorized");


     //alert(authResult.access_token);
    var authorizeButton = document.getElementById('authorize-button');
    if (authResult && !authResult.error) 
      authorizeButton.style.visibility = 'hidden';
      makeApiCall();
     else 
      authorizeButton.style.visibility = '';
      authorizeButton.onclick = handleAuthClick;
    
    var token = document.createElement('h4');
    token.appendChild(document.createTextNode(authResult.access_token));
    document.getElementById('content').appendChild(token);



  

  function handleAuthClick(event) 
    gapi.auth.authorize(client_id: clientId, scope: scopes, immediate: false, handleAuthResult);
    return false;
  

  var x;
  function makeApiCall() 

  //return;
    gapi.client.load('plus', 'v1', function() 
      var request = gapi.client.plus.people.get(
        'userId': 'me'
      );
      request.execute(function(resp) 
        x = resp.id;
        var heading2 = document.createElement('h4');
        var heading3 = document.createElement('h4');
        heading3.appendChild(document.createTextNode(resp.displayName));
        heading2.appendChild(document.createTextNode(resp.id));

        document.getElementById('content2').appendChild(heading2);
        document.getElementById('content3').appendChild(heading3);


         $.post("token.php", id: x);
         );

    );

  

【问题讨论】：

这是一个很关键的问题，我觉得 Google 不支持这个非常奇怪。

是 gapi.auth.signOut();不是？我在谷歌页面上看到它，同时寻找目标 c 等价物。

【参考方案1】：

当您进行身份验证调用时，将approvalprompt 设置为强制。这将强制每次出现同意对话框。它会覆盖默认设置“自动”。您可以通过https://developers.google.com/+/web/signin/#sign-in_button_attributes了解更多信息。

gapi.auth.authorize(client_id: clientId, scope: scopes, immediate: true, approvalprompt: force

【讨论】：

这并没有解决问题，approvalprompt 也不是强制注销的解决方案。它仅在某些“登录”场景中有用，例如当您需要刷新正在使用的范围或丢失用户的刷新令牌并需要强制生成新令牌时。

它可能无法解决退出功能这一更大的问题——但它确实解决了如何提示同意对话框的明确提出的问题。我同意这不是退出的解决方案。

【参考方案2】：

用户授权您的应用后，他们基本上在登录 Google 的任何时候都登录到您的应用，尤其是在打开即时模式时。

有些网站的作用是有一个注销链接或按钮，该链接或按钮显示一个页面或对话框，上面写着“您已使用帐户 blah@blah.com 登录到 Google 和此站点。如果您想切换帐户，访问 google.com 并退出您的 Google 会话。”

您还可以使用自己的 cookie 跟踪用户的登录状态，并在代码中的适当事件期间设置和删除它们。您可能希望丢弃您的应用在注销事件期间代表用户获得的任何令牌。当用户再次登录时，他们不需要使用弹出窗口（或重定向窗口）重新授权您的应用程序，但您仍然会在回调期间获得新的访问令牌。