我想了解一些东西。
我有一个基于 oAuth2 和 Google 帐户的应用程序。
所以,我第一次连接到这个网站时,我被重定向到谷歌域上的身份验证页面。所以我输入我的电子邮件和密码,我不检查“受信任的计算机”(或“记住我”,我不记得确切的术语)。
问题是,如果我重新启动计算机或什至删除我的 cookie(但不是我的历史记录(在 Android 手机上使用 Chrome 测试),则不会再次提示我进行身份验证,并且我可以直接访问该应用程序。
我想明白为什么?
如果有人可以向我解释那应该很棒!
谢谢
最佳答案
您实际上可以通过传递 &max_auth_age=0
在 Google OAuth api 中强制重新身份验证到授权网址。
来源:
Use the PAPE extension for further control of user authentication (optional) Use the max_auth_age parameter in the PAPE extension to ensure that the login session of the user at Google is recent. You may also specify max_auth_age=0 to force a password reprompt.
https://developers.google.com/accounts/docs/OpenID
这有点令人困惑,因为他们谈论 OpenID,但我使用 Google 提供的 OAuth2 库成功地做到了这一点。
关于google-oauth - 不提示使用 OAUth2 重新进行身份验证。为什么以及如何强制它?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19379627/