【问题标题】:How to use Google authentication without redirection?如何在没有重定向的情况下使用 Google 身份验证?
【发布时间】:2011-10-21 07:47:31
【问题描述】:

有没有办法使用 Google 帐户来验证我自己的个人网站?我了解 Google 提供了一个用于身份验证的 API,但它需要重定向。反正有没有被重定向到谷歌的自定义登录过程?

顺便说一句,在用户身份验证方面,我完全是个菜鸟。我确实试图找到一个预先存在的线程,但找不到一个。

【问题讨论】:

标签: google-app-engine google-authentication


【解决方案1】:

正是由于 Kris 给出的原因,Google(以及类似的 OAuth 提供商)不允许您直接对用户进行身份验证。 这是一种安全措施,可以保护他们自己和他们的用户免受网络上的 ATM 刷卡器的影响。

【讨论】:

  • 我发现这……难以置信。我想我错了。关于为什么你可能想要避免它的建议是成立的,但感谢您指出差异:)
  • ClientLogin API 主要针对移动端和桌面端应用,不能轻易使用基于 Web 的 OpenID 或 OAuth。否则,Google 建议尽可能使用 OpenID 和 OAuth。
  • 由于你所说的原因(MIM 攻击),我永远不会在 3rd 方网站上输入我的谷歌密码。
  • @Peter 当攻击者将自己识别为不同的人时,这甚至不是中间人攻击。
【解决方案2】:

我有一个可用性答案,而不是技术答案。

我不确定这是否可行,但即使可行,我强烈建议不要这样做。可以这样想:您希望用户使用他们的 Google 帐户登录您的网站。如果您是该用户,您会觉得在 Google 网站或其他与 Google 无关的网站上输入您的登录信息更自在吗?

【讨论】:

  • 感谢绝对有道理。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2022-11-30
  • 2018-07-23
  • 2018-07-21
  • 1970-01-01
  • 1970-01-01
  • 2022-01-03
  • 1970-01-01
相关资源
最近更新 更多