Google OAuth 检查用户是否从 Google 注销

Question

用户使用 Google OAuth 登录后 - 是否可以检查以后的用户是否从 Google 注销？

场景：

1. 用户登录Google
2. 用户使用Google OAuth 登录mysite.com，登录状态在会话中存储1 年。
3. 用户从Google注销，但忘记从mysite.com注销
4. 一周后，有人偷走了用户的笔记本电脑。小偷将无法使用Google，但可以重新使用mysite.com 上的登录用户会话

不知道有什么办法可以防止这种情况发生？

我不想给用户增加这个负担 - 从mysite.com 注销他并要求每天重新登录。

想改用自动的东西，比如：

• 当您使用 Google OAuth 登录时，您会获得某种 ID
• 每天您都可以通过调用类似
的方法来验证原始会话是否仍处于活动状态

google.com/api/is-original-session-still-active?id=ID

Answer 1

注意：我怀疑您的术语不正确，我怀疑您使用 Openid connect 而不是 OAuth2 来登录您的用户。不过我会根据 Oauth2 回答这个问题，因为这就是你所说的你正在使用的东西。

Oauth2

Oauth2 用于授予应用程序访问用户数据的权限。使用 oauth2 令牌时，您代表用户行事。使用 Oauth2 令牌时实际上没有用户交互。

如果用户同意您的应用程序访问他们的数据，您将获得访问令牌和刷新令牌。访问令牌可以使用一个小时。刷新令牌的寿命很长，只要用户不删除您的同意并且您至少每六个月使用一次，您就可以访问用户数据。

由于 Oauth2 没有用户交互，因此无法使用它来查看用户是否已登录其帐户。实际上没有 Google api 可以为您提供此信息。这将 IMO 被视为隐私用户信息，而不是谷歌应与第三方应用程序共享的信息。

建议

您可能需要考虑对您的应用程序进行一些更改。

1. 在任何地方实现注销。如果用户更改了密码，那么他们登录的所有设备都应该自动重新进行身份验证。
2. 您的会话应该只有一两周的时间，并且您应该启用滑动。
3. 告诉您的用户取消您的应用程序对其数据的同意，这也将迫使他们必须重新登录。

Answer 2

如果您的应用使用“通过 Google 登录”，特别要了解可能影响您应用用户的用户帐户安全事件，请考虑注册您的应用以接收Cross Account Protection 的事件。