使用刷新令牌自动验证用户但使用非活动会话Google OAuth

时间:2013-11-01 14:46:28

标签: oauth oauth-2.0 google-api google-oauth passport.js

当我已经拥有用户的刷新令牌但是他们与应用程序的会话时,是否可以使用Google OAuth对用户进行身份验证而不强制用户选择允许/拒绝(即可以“自动验证”)不再活跃?

如:

  • 用户正在使用其他计算机
  • 用户在同一台​​计算机上使用其他浏览器
  • 在重新启动时清除的每次重启/ cookie上重新映像用户的​​计算机
  • 我们的会话Cookie已过期

请注意,我已经设置了approval_prompt = force,因为我需要刷新令牌。感谢。

1 个答案:

答案 0 :(得分:0)

取决于您想要做什么......使用刷新令牌来获取任何范围的新刷新令牌都不需要用户交互。但刷新令牌不能用于验证用户存在,其重点是在用户不在时执行此操作。

如果您需要做的是测试用户在场,您必须经历某种身份验证交互,但有一个例外。如果您知道电子邮件地址并使用“openid email”等范围执行OpenID Connect登录,并使用login_hint参数发送您知道的电子邮件,那么如果该电子邮件用户在场并登录,您的操作将成功无需互动。一些有用的详细信息位于https://developers.google.com/accounts/docs/OAuth2WebServer