标签: oauth-2.0 openid-connect google-login social-authentication
在第4步之后,即使我关闭浏览器并重新打开,访问gmail也会立即打开我的帐户,而不会提示输入密码。请记住,我从不让浏览器保存我的密码,也不记得“记住我”
我不确定普通用户会记得单独访问gmail注销;这在公共电脑上会是灾难性的。
我的问题:
这是oauth2的设计缺陷还是步骤1中的应用程序的实现缺陷还是google-login的实现缺陷?或者,从技术上讲,步骤1中的应用程序无法注销社交身份提供商(在这种情况下,这根本不是缺陷。)
答案 0 :(得分:0)
OpenID Connect核心规范和会话管理规范定义了两者的方式:
并在最大值后强制用户使用OP重新进行身份验证 自上次用户以来已经过了身份验证年龄(max_age) 认证。 (link)
max_age
麻烦的是,我不确定Google是否实施了这些内容see this
我已使用OpenID Connect标记了您的问题,因为身份验证不是OAuth2.0的问题。
OpenID Connect