如何在弹出窗口中通过 OAuth 2.0 向 Google 进行身份验证？

Posted 2023-03-08

【中文标题】如何在弹出窗口中通过 OAuth 2.0 向 Google 进行身份验证？

【英文标题】：How to authenticate with Google via OAuth 2.0 in a popup?

【发布时间】：2011-12-18 07:45:02

【问题描述】：

很抱歉进行了大修改。我重新开始，因为我没有正确地陈述我的问题。

我正在尝试用 html5 编写客户端应用程序。我不希望它托管在网站上。我什至不确定这是否可能，我对这种类型的应用程序相当陌生。

无论如何，我想访问谷歌服务，这需要像 OAuth 这样的身份验证。因为它是 javascript，所以听起来 OAuth2 是我需要的。

我正在尝试在弹出窗口中打开 google 身份验证（我有这部分），让用户允许访问，然后将流程传回我的应用程序，该应用程序可以查询 Google 服务。问题是 1. 每当我使用 response_type=code 时，它都会要求用户将令牌复制/粘贴到应用程序中，但如果我使用 response_type=token，它需要我重定向回一个有效的 URL，因为它不是托管在网络服务器，没有。

那么如何使用 OAuth，并让用户无缝授予访问权限？

【问题讨论】：

查看这个答案***.com/a/38094113/1153703

【参考方案1】：

您应该为 Google 定义一些重定向 URL，以便在身份验证完成后重定向到。如果您无法在任何网站上托管您的页面，您可以很好地将其托管在本地主机中。

关于从弹出窗口获取访问令牌到主父窗口，您可以在父窗口中设置一个计时器，不断检查弹出窗口的文档位置。一旦文档位置与重定向 URL 匹配，您就可以解析将在 URL 本身中的访问令牌。

我昨天写了一篇关于完全相同问题的教程（使用本地主机），这里是链接： http://www.gethugames.in/2012/04/authentication-and-authorization-for-google-apis-in-javascript-popup-window-tutorial.html

希望你会发现它有用。

【讨论】：

我阅读了你的教程，我想知道是否可以按照你建议的方式获取令牌，一旦令牌存储在父窗口中，使用 php 进行 API 调用。我想要这种方式的原因是我正在使用 google-api-php-client 库。谢谢你

我相信 google-api-php 库中会有功能来授权和获取访问令牌。为什么你不能使用它们？ code.google.com/p/google-api-php-client/wiki/OAuth2

因为我在尝试实现一系列的表单，或者一个流程。如果访问令牌或刷新令牌不可用，则用户需要在流程的每个阶段授权访问日历和电子表格、b/c，或在提交表单（多部分表单流程）后记录已流逝的时间并在日历和电子表格中形成数据。使用 php 库的问题是它会打开同一个页面，我无法从第一个启动过程表单返回 POST。

您可以编写一个 php 文件（可以将其命名为 settoken.php），它将令牌字符串作为 POST 参数，将其保存为 PHP 会话变量并恢复您暂停以获得用户身份验证的过程。然后在客户端，在用户身份验证结束并且您获得令牌并对其进行验证后，您可以将其发布到 settoken.php。但是令牌需要以某种方式传递给服务器，我认为您不能访问存储在窗口中的令牌来调用您的 php 库。

真的很不错。您的样本似乎比 google +10 提供的样本更好

【参考方案2】：

为避免潜在的click jacking，Google 身份验证会强制您进行全页登录。我认为你无法控制它。

编辑评论后，这是从Google OAuth2 page中提取的代码：

<body>
    <a href="javascript:poptastic('https://accounts.google.com/o/oauth2/auth?scope=https://www.google.com/m8/feeds&client_id=21302922996.apps.googleusercontent.com&redirect_uri=https://www.example.com/back&response_type=token');">Try
    out that example URL now</a>
<script>
    function poptastic(url) 
      var newWindow = window.open(url, 'name', 'height=600,width=450');
      if (window.focus) 
        newWindow.focus();
      
    

</script>
</body>

【讨论】：

我不确定这是不是真的。在他们自己的示例网页code.google.com/apis/accounts/docs/OAuth2.html#ClientLibraries 上，有一个链接显示“立即试用示例 URL”，如果单击该链接，则会在新的弹出窗口中打开它。

我已经更新了答案。我试图将它嵌入到 iframe 中，这可能是重定向页面的原因。感谢您提供信息。

对不起，我已经能拿到那部分了。窗口打开，但它希望您将一些身份验证令牌复制/粘贴到我不想要的客户端应用程序中。我希望用户单击“允许”，然后继续。这是我想不通的部分。

您是否尝试将redirect_uri 指定到您网站的页面。然后读取令牌#access_token，将其传递给父页面，关闭弹出窗口，并在后续调用中使用它？

你不是纯粹在客户端运行它，因为你调用了谷歌。

【参考方案3】：

我相信您可以在 Javascript 中使用 google api (gapi) 进行 Oauth。 这是文档：Authentication using the Google APIs Client Library for JavaScript

您不需要用户复制/粘贴任何代码，也不需要提供重定向 uri

您需要做的就是：转到Google Developers Console 中的项目并生成以下内容： 1. 生成新的客户端 ID 并选择选项“已安装的应用程序”和“其他”。 2. 生成公共 API 密钥

来自上述文档的示例代码：

// Set the required information
var clientId = 'YOUR CLIENT ID';
var apiKey = 'YOUR API KEY';
var scopes = 'https://www.googleapis.com/auth/plus.me';

// call the checkAuth method to begin authorization
function handleClientLoad() 
  gapi.client.setApiKey(apiKey); // api key goes here
  window.setTimeout(checkAuth,1);


// checkAuth calls the gapi authorize method with required parameters
function checkAuth() 
  gapi.auth.authorize(client_id: clientId, scope: scopes, immediate: true, handleAuthResult); // scope and client id go here


// check that there is no error and makeApi call
function handleAuthResult(authResult) 
  var authorizeButton = document.getElementById('authorize-button');
  if (authResult && !authResult.error) 
    makeApiCall();
  


// API call can be made like this:
function makeApiCall() 
  gapi.client.load('plus', 'v1', function() 
    var request = gapi.client.plus.people.get(
      'userId': 'me'
    );
    request.execute(function(resp) 
      var heading = document.createElement('h4');
      var image = document.createElement('img');
      image.src = resp.image.url;
      heading.appendChild(image);
      heading.appendChild(document.createTextNode(resp.displayName));

      document.getElementById('content').appendChild(heading);
    );
  );

【参考方案4】：

我已经为这个任务写了一个迷你 JS 库，拿来看看它是否适合你。

https://github.com/timdream/wordcloud/blob/6d483cd91378e35b54e54efbc6f46ad2dd634113/go2.js

我最近正在开发另一个依赖相同脚本的项目，所以我将这个项目隔离到 an independent library project ... 检查进度如下（如果有的话）。

【讨论】：

顺便说一下，timc.idv.tw/wordcloud 是完全符合 Google 身份验证方式的客户端网络应用程序。