3

我们有这个 ROR 应用程序,它使用omniauth-google-oauth2withdevise来登录用户。我们遇到了一个问题,如果在用户已经从他的 google 帐户授予对应用程序的访问权限后,用户的帐户已从系统中删除,则身份验证只会进入无休止的身份验证循环。

场景是这样的:

  1. 用户通过 google 进行身份验证并授予应用程序访问权限
  2. 在回调中,我们的应用程序确定用户帐户是否有效 - 已删除或未创建(我们的系统不支持自助注册
  3. 用户未经授权(且未登录),这是正确的)
  4. 如果用户再次尝试通过 Google 登录以尝试其他帐户,Google 会透明地授权并将用户重定向回我们的应用程序,而不会给用户更改帐户的机会。

用户实际上可以通过先退出来退出此循环。但这对普通用户来说并不是很明显,因此不是理想的解决方案。

理想情况下,解决方案是在回调阶段使 access_token 无效或撤销应用程序授权,以便当用户再次尝试登录时,他们可以切换帐户。

4

1 回答 1

1

可以覆盖 sign_in url 中的approval_prompt,因此您可以将其设置为“强制”,从而使用户脱离catch-22,即使google_oauth2 设计配置已将其设置为“自动”(默认)。

诀窍是在 OmniauthCallbacksController 中传达这是所需要的。一种简单且不显眼的方法是简单地设置一个临时 cookie:

class Users::OmniauthCallbacksController < Devise::OmniauthCallbacksController
  def google_oauth2
    if user = User.find_for_google_oauth2(request.env["omniauth.auth"])
      cookies.delete :google_oauth2_approval_prompt
      flash[:notice] = I18n.t( "devise.omniauth_callbacks.success", kind: "Google")
      sign_in_and_redirect user, event: :authentication
    else 
      # we are not supporting self-service registration, so although
      # user has authenticated at Google and given consent to the app,
      # we are not going to allow the user in
      cookies[:google_oauth2_approval_prompt] = "force"
      flash[:error] = I18n.t( "devise.omniauth_callbacks.failure", kind: "Google", reason: "account not provisioned")
      redirect_to root_url
    end
  end
end

然后在呈现谷歌登录的视图中,有条件地附加approval_prompt:

:ruby
  extra_params = if approval_prompt = cookies[:google_oauth2_approval_prompt]
    {approval_prompt: approval_prompt}
  else
    {}
  end

= link_to "Sign-in with Google", 
  user_omniauth_authorize_path(:google_oauth2,extra_params)

因此,如果用户首先尝试使用应用程序决定不接受的 Google 帐户,则用户将有机会在尝试再次登录时切换帐户(因为它们将通过强制批准工作流程)。

于 2013-02-01T16:22:29.203 回答