0
  1. 我访问了一个使用 oauth 社交登录的应用程序
  2. 我选择说gmail;我被发送到 gmail 网站
  3. 我登录到 gmail,然后被发送回应用程序
  4. 完成应用程序后,我退出

在第 4 步之后,即使我关闭浏览器并重新打开,访问 gmail 也会立即打开我的帐户,而不会提示输入密码。请记住,我从不让浏览器保存我的密码,我也从不勾选“记住我”</p>

我不确定普通用户是否会记得单独访问 gmail 以注销;这在公共计算机上将是灾难性的。

我的问题:

这是 oauth2 的设计缺陷,还是第 1 步中应用程序的实施缺陷,还是 google-login 的实施缺陷?或者第 1 步中的应用程序在技术上是否不可能退出社交身份提供者(在这种情况下,这根本不是缺陷。)

4

1 回答 1

0

OpenID Connect 核心规范和会话管理规范定义了两种方式:

  • 将用户从身份提供者中注销(链接

  • max_age并在自上次用户身份验证后经过最大身份验证年龄 ( ) 后,强制用户使用 OP 重新身份验证。(链接

    麻烦的是我不确定谷歌是否实现了这些东西看到这个

我已将您的问题标记OpenID Connect为身份验证不是 OAuth2.0 问题。

于 2018-03-24T10:12:37.103 回答