我们一直在使用OmniAuth来促进“使用您的LinkedIn凭据登录”(以及其他OAuth2提供商)。
今天我们三个人尝试使用流程,发现来自LinkedIn的OAuth2回调包含不同的 id字段,而不是之前的许多登录尝试。因此,我们的应用不会将我们视为同一个用户,因为SSO提供商的id已更改。
LinkedIn API docs表示id字段是“该成员的唯一标识值。
此值与您的特定应用程序相关联。任何尝试将它与不同的应用程序一起使用将导致“404 - 无效的成员ID”错误。“据我们所知,我们没有更改我们的客户端密钥/客户端密钥或类似的东西。我们确实更改了DNS最近的应用程序,但我认为LinkedIn(和其他OAuth2 SSO提供商)根据客户端密钥和机密识别应用程序,而不是反向DNS查找或IP地址或类似的东西。
这是正常的吗? OAuth2回调中提供的uid“过期”并在下次验证发生时收到新值,如果是,我们如何将其识别为同一用户?我们缺少什么?