对于 OAuth 服务器授予的离线访问权限,“离线”一词究竟是什么意思?
这是否意味着即使用户退出第三方应用程序或用户退出 Facebook、Google 或 Twitter 等 OAuth 资源服务器时,资源服务器也会返回有关用户的数据?
【问题讨论】:
标签: oauth google-api google-oauth
离线访问是 IMO 的一个非常糟糕的名字,我认为它只是一个术语 据我所知,谷歌在 OAuth 的 RFC 中没有使用它。
当您请求离线访问时,Google 身份验证服务器会返回一个 refresh token。刷新令牌使您的应用程序能够 当用户不在场时代表用户请求数据 你的申请。
假设我有一个 Super Awesome 应用,可以下载您的 Google Analytics(分析)数据, 把它变成一个漂亮的 PDF 文件,每天早上用你的电子邮件发送给你 统计数据。为此,我的应用程序需要能够访问 当你不在时你的谷歌分析数据,允许我做 那。所以 Super Awesome 应用会请求 离线访问 并且 身份验证服务器将返回一个刷新令牌。使用那个刷新令牌 超级棒的应用程序可以随时请求新的访问令牌并获取您的 谷歌分析数据。
让我们试试 Less Awesome 应用,它可以让您将文件上传到 Google 云端硬盘。较少的 真棒应用不需要访问您的 Google 云端硬盘帐户 大约。它只需要在您在线时访问它。所以理论上它 不需要离线访问。但实际上它确实如此,它仍然会获得 refresh 令牌,这样它就不必再次请求您的许可(这是我 认为命名不正确)。
如果授权码交换中存在刷新令牌,那么它 可用于随时获取新的访问令牌。这就是所谓的 离线访问,因为用户不必出现在浏览器中 当应用程序获得一个新的访问令牌。
问题是,在很多情况下,身份验证服务器会返回 无论如何给你刷新令牌:你不必实际要求任何东西 - 它给了你。使您能够在用户访问时访问他们的数据 不在身边。用户不知道您可以在没有他们的情况下访问他们的数据 在那里。它只是 JavaScript 库,我认为是 PHP 库 向您隐藏 刷新令牌,但它就在那里。
只需发布(即 HTTP POST 请求):
https://accounts.google.com/o/oauth2/token?code={AuthCode}&
client_id={ClientId}.apps.googleusercontent.com&client_secret={ClientSecret}&
redirect_uri=urn:ietf:wg:oauth:2.0:oob&grant_type=authorization_code
回复如下:
{
"access_token": "ya29.1.AADtN_VSBMC2Ga2lhxsTKjVQ_ROco8VbD6h01aj4PcKHLm6qvHbNtn-_BIzXMw",
"token_type": "Bearer",
"expires_in": 3600,
"refresh_token": "1/J-3zPA8XR1o_cXebV9sDKn_f5MTqaFhKFxH-3PUPiJ4"
}
我现在可以离线访问此用户数据,而且我从未告诉他们我 会的。更多详情请参阅这篇短文:Google 3 legged OAuth2 flow。
【讨论】:
access_type=offline 传递给 Google,但我仍然没有被要求提供离线访问权限。
作为一种安全机制,OAuth 流返回的访问令牌会在一段时间(Google 访问令牌为 1 小时)后过期。这意味着任何想要处理用户数据的应用程序都需要用户最近通过 OAuth 流程,也就是在线。请求离线访问会为应用程序提供一个刷新令牌,它可以使用它来生成新的访问令牌,从而允许它在数据通过 OAuth 流程很长时间后访问用户数据,也就是离线时。
当您的应用程序在用户不存在的情况下继续运行时,需要获得离线访问权限。例如,如果有一些夜间批处理,或者如果您的应用程序响应诸如推送通知之类的外部事件。但是,如果您仅在用户积极使用您的应用程序时访问用户数据,则无需离线访问。每次您需要 n 个访问令牌时,只需通过 OAuth 流程向用户发送,如果他们之前已授予对您的应用程序的访问权限,则授权页面将立即关闭,从而使该过程对用户几乎不可见。
对于 Google API,您可以通过在向用户提供的授权 URL 中包含参数 access_type=offline 来请求离线访问。使用Installed Application flow 时会自动请求脱机访问并因此刷新令牌。
【讨论】: