我正在开发一个 Web 应用程序,该应用程序将直接与与特定 Google 帐户关联的 Google 日历集成。Google Data API 访问的帐户不太可能更改,因此我不确定最合适的帐户身份验证方法将是什么。
我已经查看了可用的选项,似乎AuthSub和OAuth不合适,因为我不会将用户登录到他们自己的帐户 - 仅显示和更新固定帐户。其他可用选项是ClientLogin和Gadgets身份验证。在所有这些中,ClientLogin 似乎是最合适的,但文档指出它适用于已安装的应用程序。虽然我正在开发的 Web 应用程序不是专门安装的应用程序,但它与这种情况下的应用程序非常相似——这就是我认为 ClientLogin 最有意义的原因。
哪种 Google 身份验证选项最适合这种情况?
阅读http://code.google.com/apis/gdata/docs/auth/overview.html后,在我看来 OAuth 是实现目标的最安全方式。对于 Web 应用程序,Google 建议使用 OAuth 或 AuthSub 而不是 ClientLogin。此外,使用 OAuth 和 AuthSub 可以防止您的应用程序控制用户的电子邮件和密码,这意味着您不需要采取额外的步骤来保护和更新信息。在 OAuth 和 AuthSub 之间,由于请求被签名,OAuth 被更普遍地采用并且更安全。希望有帮助。
编辑:所以我完全误解了你的应用程序在做什么,如果你只使用你的谷歌帐户,任何身份验证方法都可能很好,也就是说谷歌推荐 OAuth 或 AuthSub 用于网络应用程序。然而,了解 OAuth 和 AuthSub 的重要一点是令牌的生命周期。如果没有办法让令牌持续很长时间(几个月、几年),那么我会尝试使用 ClientLogin,因为这样您的应用程序将始终能够登录到该帐户。作为旁注,但为了安全起见,我建议您不要将您的主 Google 帐户用于该应用程序,而是创建第二个帐户并简单地与您的主帐户共享日历,这样,如果您的应用程序遭到入侵,您就不会丢失您的主 Google 帐户.