我对Google API的Oauth2登录有疑问。假设我的应用程序知道用户的凭据(安全地存储在我的应用程序数据库中的某个位置),是否有办法通过从后端预填充用户名和密码来绕过登录屏幕,以便Oauth2确认屏幕仅获取访问令牌显示范围权限确认?
答案 0 :(得分:0)
OAuth2的一个主要优点是,它允许用户授予您的应用程序访问某些资源或其他的权限,而无需提供其登录凭据。例外是"密码"授权允许客户端应用程序代表用户行事,但通常不鼓励。
Google的登录屏幕已从其网站加载,因此您无法控制其呈现或绕过的数据。 OAuth的另一个重要事项是用户通常决定是否授予访问权限。如果用户之前已授予对您的应用程序的访问权限,并且已经登录到Google,那么他们可能会被重定向而无需再次登录。
您不应该在您的网站上存储用户的Google凭据 - 无论您认为它们有多安全 - OAuth等标准存在的主要原因之一就是避免这种情况。< / p>