0

我们正在使用 google oauth2允许用户使用他们现有的 google 帐户登录到我们的系统。

经过身份验证后,在我们的应用程序中管理活动用户会话的正确方法是什么。

假设用户使用谷歌账户 A 登录到我们的系统。然后用户注销/将谷歌账户更改为账户 B,但不是在我们的应用程序中,而是从其 gmail 中。我们是否也应该将他从我们的应用程序中注销???(在我看来,一旦应该有谷歌 API 来检查给定用户在给定时间是否登录到谷歌服务,这在我看来是很奇怪和不可能的)。

在我看来,唯一合理的方法是在给定超时后使用户会话无效,然后我们才能让用户重新通过 oauth2 授权流程。

在此先感谢您的帮助。

4

1 回答 1

2

您从Google OAuth2 登录流程access_token中获取的信息不与各种 Google 应用程序(gmail、plus、....)中的登录会话相结合。id_token

您的应用无法知道用户退出了他的 gmail。你的应用程序不应该关心。

如果您的网络应用程序清楚地向用户说明了最初使用哪个帐户登录(通过显示从Google 用户信息调用中检索到的用户名/图片或其他信息,您应该没问题。

例如,大多数用户不会尝试将您的 Web 应用程序会话与 gmail 会话链接。

于 2013-07-13T07:55:08.930 回答