当我已经拥有用户的刷新令牌但他们与应用程序的会话不再存在时,是否可以使用 Google OAuth 对用户进行身份验证而不强制用户选择允许/拒绝(即是否可以“自动身份验证”)积极的?
如:
- 用户正在使用不同的计算机
- 用户在同一台计算机上使用不同的浏览器
- 每次重新启动时都会重新映像用户的计算机/重新启动时清除 cookie
- 我们的会话 cookie 已过期
请注意,我设置了approval_prompt=force,因为我需要刷新令牌。谢谢。
当我已经拥有用户的刷新令牌但他们与应用程序的会话不再存在时,是否可以使用 Google OAuth 对用户进行身份验证而不强制用户选择允许/拒绝(即是否可以“自动身份验证”)积极的?
如:
请注意,我设置了approval_prompt=force,因为我需要刷新令牌。谢谢。
取决于您要做什么...无需用户交互即可使用刷新令牌来获取适用于任何范围的新刷新令牌。但是刷新令牌不能用于验证用户是否存在,它的全部意义在于在用户不存在时执行此操作。
如果您需要做的是测试用户是否存在,则必须进行某种身份验证交互,但有一个例外。如果您知道电子邮件地址并使用“openid email”之类的范围进行 OpenID Connect 登录,并且您使用 login_hint 参数发送您知道的电子邮件,那么如果该电子邮件用户存在并登录,您的操作将成功无需交互。一些有用的细节在https://developers.google.com/accounts/docs/OAuth2WebServer