仅向 Google 网站登录请求“openid”范围

Posted 2023-02-23

【中文标题】仅向 Google 网站登录请求“openid”范围

【英文标题】：Request only 'openid' scope from Google Sign-In for Websites

【发布时间】：2019-09-09 16:45:33

【问题描述】：

我正在将 Google 登录集成到我的网络应用中，但无论我指定什么，它总是在登录流程中显示警告：

要继续，Google 将与 [应用名称] 分享您的姓名、电子邮件地址和个人资料照片。

我不需要也不想要我的用户的姓名、电子邮件地址或个人资料照片；我只需要一个token_id。我知道similar question 开发人员只需要电子邮件地址，并且解释说其他详细信息无论如何都可以从电子邮件地址派生，但在这种情况下我也不想要电子邮件地址。

按照我设置的documentation：

function login() 
  gapi.auth2.init(
    client_id: myClientIdHere,
    cookie_policy: 'none',
    fetch_basic_profile: false,    // <-- remove basic profile
    scope: 'openid',               // <-- request only openid
    ux_mode: 'redirect', // <-- using redirect to avoid popup blocker issues
    redirect_uri: myRedirectUriHere,
  ).then((GoogleAuth) => 
    GoogleAuth.signIn() // [etc]
  );


function init() 
  gapi.load('auth2', login);

检查网络请求表明这是将用户引导至：

https://accounts.google.com/o/oauth2/auth?redirect_uri=[myRedirectUri]&response_type=permission%20id_token&scope=openid&openid.realm=&client_id=[myClientId]&ss_domain=[myDomain]&fetch_basic_profile=false&gsiwebsdk=2

这看起来是正确的。我已经尝试调整该 URL 并手动导航到它，无论我更改什么，它似乎总是显示警告。

在我的 Google API 控制台项目下的凭据 -> OAuth 同意屏幕 -> Google API 的范围内，我可以看到“电子邮件”、“个人资料”和“openid”都列出来了，我找不到任何选项删除它们。

我不知道它是否真的在用户登录时向我发送了该信息，但我想从登录屏幕中删除警告。

如何使用 Google 登录仅进行登录？如何防止它向我提供个人资料/电子邮件地址信息？

【问题讨论】：

你找到解决方案了吗？我也有同样的要求

@Kiran 不，不使用 Google 登录。除非您与 Google 绑定，否则您可能需要考虑查看其他 OAuth 提供程序。

【参考方案1】：

当您从 Google 获取访问令牌时，您可以调用 userinfo 端点并使用 openid 范围获取用户个人资料信息，因此即使您不需要电子邮件和个人资料信息，您仍然可以通过以下方式获取该信息用户信息端点 [1]。

[1]https://developers.google.com/identity/protocols/OpenIDConnect#obtaininguserprofileinformation

【讨论】：

不能为我的应用禁用此功能吗？由于我只需要一个 token_id，另一种选择是完全阻止为我的应用程序创建访问令牌（该端点需要访问令牌）。我想一定有办法，因为这对于像谷歌这样的大公司来说是相当有漏洞的。

如果您指的是 ID 令牌，它包含电子邮件 ID、姓名和头像信息 [1]。 [1]developers.google.com/identity/protocols/…

我检查了我收到的 ID 令牌，它们不包含大部分信息（我猜是因为我没有要求它）。令牌包含：iss、sub、azp、aud、iat、exp 和 nonce。