有人可以给我一个简短的解释,说明“拥有”一个域的必要性,从该域中提供Javascript应用程序,该域可以对在App Engine上运行的服务进行OAuth2调用?我认为这是为了防止某些安全漏洞。我简直无法想象是什么,因为Javascript使用在用户的Web浏览器中运行的客户端对服务进行身份验证,而auth流程使用户可以清楚地要求用户允许什么。页面的来源有什么不同?
答案 0 :(得分:0)
身份验证请求来自哪里都无所谓。您的应用可以在客户端的桌面,移动设备,网站等上本地运行。
[技术原因]:
Google OAuth回调以提供令牌的端点必须安全地传输到HTTPS端点。如果指定HTTP端点,则授权请求将失败。为了在服务器上设置SSL,您必须具有注册的域名。例外情况是您通过内置的网络服务器使用http://localhost/或http://[::1]/进行授权。
[法律/政治原因]:
关键在于,通过拥有一个域,Google还可以显示有关谁在请求访问权限的信息。这是为了保护最终用户免受欺诈行为的侵害。最终用户可以使用的信息包括:
在某些国家/地区,您必须提供有关如何根据法律使用和保护客户信息的书面信息。如果您没有网站,则Google无法完成此部分,后者负责使用Google帐户进行身份验证来保护最终用户。