我正在评估Google提供的在我的网络应用程序中添加Google登录的可能选项。我看到的可能选项是
我没有使用第一个,因为它限制了我在一天内可以进行的10000次调用
满分2& 3,我倾向于第3名。我真的不需要API授权,在我的情况下我并不担心访问令牌过期。一旦我从Google收到用户个人资料,我的网络应用就会管理自己的用户会话,而无需向Google查询与用户相关的任何其他数据。根据Google文档,#3允许我自定义用户同意屏幕,而1& 2不要。
对我和2& 3?
答案 0 :(得分:9)
事实上,2。由OAuth 2.0的特定用途/扩展组成,用于在核心OAuth 2.0提供的授权之上建立用户身份。使用2.您必须确保只在code流程中收到访问令牌,并且您必须执行Google特定的内省调用以找出用户是谁,用户的身份在哪里在Google特定声明中返回。
另一方面,3。是一种通过第三方提供商登录用户的标准化方式,因此它是一个未来的安全选择,您可以在库/ sdk中找到更多支持(至少在不久的将来)。