我们正在使用google oauth2许可用户使用现有的Google帐户登录我们的系统。
经过身份验证后,在我们的应用程序中管理活动用户会话的正确方法是什么?
假设用户已使用Google帐户A登录我们的系统。然后用户注销/更改Google帐户到帐户B但不在我们的应用程序内,而是从其Gmail。我们还应该从我们的应用程序中将他登出他吗? (一旦应该有谷歌API检查给定时间的给定用户登录到谷歌服务,这在我看来是奇怪的和不可能的。)
在我认为合理的唯一方法是在给定超时后使用户会话无效,然后我们才能让用户重新通过oauth2授权流程。
提前感谢您的帮助。
答案 0 :(得分:2)
您从Google OAuth2 Login flow获得的access_token或id_token未与各种Google应用中的登录会话相关联(gmail,plus,....)。
您的应用无法知道用户退出了他的Gmail。你的应用不应该在乎。
如果您的网络应用向用户说明最初用于登录的帐户(通过显示用户/图片或从Google User Info call检索到的其他信息,您应该没问题。
例如,大多数用户不会尝试将您的Web应用程序会话与gmail会话相关联。