最初,我相信 OAuth 同意屏幕将允许用户取消选中他们不希望请求应用程序访问的某些范围(即 the user could decide not to give the app permission to use phone_number)。然后,Google 会在用户同意的任何访问范围内将用户发送到应用程序。如果应用绝对需要该权限,则应用有责任通知用户这一点。
现在(我不确定何时更改)似乎不再为用户提供取消选择请求范围的选项。 They can only allow it or be stuck on the consent screen.
根据 OAuth 规范,这是适当的行为吗?对我来说,由于用户拒绝某个请求的范围而完全停止同意不应该是资源所有者的责任。这似乎是 Google 的错误,对吗?
明确地说,我正在努力让我的应用程序只请求它绝对需要的范围。但我不认为这种改变应该是绝对必要的。