0

我正在尝试集成GITkit v2https://developers.google.com/identity-toolkit/v2/acguide);我在理解文档中的一些内容时遇到了问题,并希望有人能对此有所了解。

1)示例中的回调是否HTTPS用于防止某些跨站点脚本(“ XSS”)向量,因此强烈推荐用于回调?如果是这样,是否也推荐给loginUrl,可能还有其他人?

2)根据1.部分,identitytoolkit.setConfig({})您必须在里面指定HomeUrl,但似乎GITkit v2不再自动重定向到您的主页{/homeUrl}(为什么必须指定两次?)

3) 回调逻辑执行后(知道用户是否已经注册)是否应该将 1.{/homeUrl}中的 HTML 回显到回调页面上?有人可以解释一下我的确切工作流程GITkit v2吗?

过去几个小时我一直在阅读,但我无法弄清楚这些问题。非常感谢任何答案(即使它没有回答所有问题),也感谢任何其他信息!

4

1 回答 1

1

回调接收来自 IDP 的响应,因此它可能包含来自 OAuth 的个人信息。最好使用 HTTPS 进行回调,以及旧版登录和注册。

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js"></script>
<script type="text/javascript" src="https://ajax.googleapis.com/jsapi"></script>
<script type="text/javascript" src="https://www.accountchooser.com/client.js"></script>
<script type="text/javascript">
  google.load('identitytoolkit', '2', {packages: ['store']});
  jQuery(function() {
    var homeUrl = '/'; // Your home page URL.
    var account = {
      email: 'user@idp.com',
      displayName: 'User Name',
      photoUrl: 'http://website.com/img/user.png'
    };
  window.google.identitytoolkit.storeAccount(account, homeUrl);
  });
</script>

确实应该在回调页面上发布(在您的逻辑之后),确保将默认值替换为 OAuth 返回的值 - displayName,并且 photoUrl 是可选的。

最后,小部件内的 homeUrl 用于在旧版登录后重定向用户。:-)

于 2013-04-09T00:56:24.043 回答