我可以使用" hello.js"库,在客户端实现oauth2协议,以获取通过第三方应用程序(Google和Facebook)验证的用户的电子邮件地址。
当然可以通过HTTPS将电子邮件地址发送到服务器,但是如何防止交换被欺骗?也就是说,服务器如何确保从浏览器接收的电子邮件地址是通过第三方应用程序验证的电子邮件地址?
也许电子邮件地址是发送到" redirect_uri"的邮件中的某个地方,它在通往客户端的途中通过服务器,但如果是这样,我就无法找到它。它不在GET或POST参数中。
答案 0 :(得分:0)
客户端Web应用程序需要发送令牌(登录后找到它) 用hello('facebook')。getAuthResponse()。access_token)回到你的 服务器。此令牌可以在任何地方用于向API发出API请求 第三方。
因此浏览器不会将实际的电子邮件地址发送到服务器。相反,它会发送令牌,然后服务器使用令牌向第三方应用询问与该令牌关联的电子邮件地址。