如何在弹出窗口中通过 OAuth 2.0 向 Google 进行身份验证?

【问题标题】:How to authenticate with Google via OAuth 2.0 in a popup?如何在弹出窗口中通过 OAuth 2.0 向 Google 进行身份验证?
【发布时间】:2011-12-18 07:45:02
【问题描述】:

很抱歉进行了大修改。我重新开始,因为我没有正确地陈述我的问题。

我正在尝试用 HTML5 编写客户端应用程序。我不希望它托管在网站上。我什至不确定这是否可能,我对这种类型的应用程序相当陌生。

无论如何,我想访问谷歌服务,这需要像 OAuth 这样的身份验证。因为它是 javascript,所以听起来 OAuth2 是我需要的。

我正在尝试在弹出窗口中打开 google 身份验证(我有这部分),让用户允许访问,然后将流程传回我的应用程序,该应用程序可以查询 Google 服务。问题是 1. 每当我使用 response_type=code 时,它都会要求用户将令牌复制/粘贴到应用程序中,但如果我使用 response_type=token,它需要我重定向回一个有效的 URL,因为它不是托管在网络服务器,没有。

那么如何使用 OAuth,并让用户无缝授予访问权限?

【问题讨论】:

标签: javascript oauth


【解决方案1】:

您应该为 Google 定义一些重定向 URL,以便在身份验证完成后重定向到。如果您无法在任何网站上托管您的页面,您可以很好地将其托管在本地主机中。

关于从弹出窗口获取访问令牌到主父窗口,您可以在父窗口中设置一个计时器,不断检查弹出窗口的文档位置。一旦文档位置与重定向 URL 匹配,您就可以解析将在 URL 本身中的访问令牌。

我昨天写了一篇关于完全相同问题的教程(使用本地主机),这里是链接: http://www.gethugames.in/2012/04/authentication-and-authorization-for-google-apis-in-javascript-popup-window-tutorial.html

希望你会发现它有用。

【讨论】:

  • 我阅读了你的教程,我想知道是否可以按照你建议的方式获取令牌,一旦令牌存储在父窗口中,使用 php 进行 API 调用。我想要这种方式的原因是我正在使用 google-api-php-client 库。谢谢你
  • 我相信 google-api-php 库中会有功能来授权和获取访问令牌。为什么你不能使用它们? code.google.com/p/google-api-php-client/wiki/OAuth2
  • 因为我在尝试实现一系列的表单,或者一个流程。如果访问令牌或刷新令牌不可用,则用户需要在流程的每个阶段授权访问日历和电子表格、b/c,或在提交表单(多部分表单流程)后记录已流逝的时间并在日历和电子表格中形成数据。使用 php 库的问题是它会打开同一个页面,我无法从第一个启动过程表单返回 POST。
  • 您可以编写一个 php 文件(可以将其命名为 settoken.php),它将令牌字符串作为 POST 参数,将其保存为 PHP 会话变量并恢复您暂停以获得用户身份验证的过程。然后在客户端,在用户身份验证结束并且您获得令牌并对其进行验证后,您可以将其发布到 settoken.php。但是令牌需要以某种方式传递给服务器,我认为您不能访问存储在窗口中的令牌来调用您的 php 库。
  • 真的很不错。您的样本似乎比 google +10 提供的样本更好
【解决方案2】:

为避免潜在的click jacking,Google 身份验证会强制您进行全页登录。我认为你无法控制它。

编辑评论后,这是从Google OAuth2 page中提取的代码:

<body>
    <a href="javascript:poptastic('https://accounts.google.com/o/oauth2/auth?scope=https://www.google.com/m8/feeds&client_id=21302922996.apps.googleusercontent.com&redirect_uri=https://www.example.com/back&response_type=token');">Try
    out that example URL now</a>
<script>
    function poptastic(url) {
      var newWindow = window.open(url, 'name', 'height=600,width=450');
      if (window.focus) {
        newWindow.focus();
      }
    }

</script>
</body>

【讨论】:

  • 我不确定这是不是真的。在他们自己的示例网页code.google.com/apis/accounts/docs/OAuth2.html#ClientLibraries 上,有一个链接显示“立即试用示例 URL”,如果单击该链接,则会在新的弹出窗口中打开它。
  • 我已经更新了答案。我试图将它嵌入到 iframe 中,这可能是重定向页面的原因。感谢您提供信息。
  • 对不起,我已经能拿到那部分了。窗口打开,但它希望您将一些身份验证令牌复制/粘贴到我不想要的客户端应用程序中。我希望用户单击“允许”,然后继续。这是我想不通的部分。
  • 您是否尝试将redirect_uri 指定到您网站的页面。然后读取令牌#access_token,将其传递给父页面,关闭弹出窗口,并在后续调用中使用它?
  • 你不是纯粹在客户端运行它,因为你调用了谷歌。
【解决方案3】:

我相信您可以在 Javascript 中使用 google api (gapi) 进行 Oauth。 这是文档:Authentication using the Google APIs Client Library for JavaScript

您不需要用户复制/粘贴任何代码,也不需要提供重定向 uri

您需要做的就是:转到Google Developers Console 中的项目并生成以下内容: 1. 生成新的客户端 ID 并选择选项“已安装的应用程序”和“其他”。 2. 生成公共 API 密钥

来自上述文档的示例代码:

// Set the required information
var clientId = 'YOUR CLIENT ID';
var apiKey = 'YOUR API KEY';
var scopes = 'https://www.googleapis.com/auth/plus.me';

// call the checkAuth method to begin authorization
function handleClientLoad() {
  gapi.client.setApiKey(apiKey); // api key goes here
  window.setTimeout(checkAuth,1);
}

// checkAuth calls the gapi authorize method with required parameters
function checkAuth() {
  gapi.auth.authorize({client_id: clientId, scope: scopes, immediate: true}, handleAuthResult); // scope and client id go here
}

// check that there is no error and makeApi call
function handleAuthResult(authResult) {
  var authorizeButton = document.getElementById('authorize-button');
  if (authResult && !authResult.error) {
    makeApiCall();
  }
}

// API call can be made like this:
function makeApiCall() {
  gapi.client.load('plus', 'v1', function() {
    var request = gapi.client.plus.people.get({
      'userId': 'me'
    });
    request.execute(function(resp) {
      var heading = document.createElement('h4');
      var image = document.createElement('img');
      image.src = resp.image.url;
      heading.appendChild(image);
      heading.appendChild(document.createTextNode(resp.displayName));

      document.getElementById('content').appendChild(heading);
    });
  });
}

【讨论】:

    【解决方案4】:

    我已经为这个任务写了一个迷你 JS 库,拿来看看它是否适合你。

    https://github.com/timdream/wordcloud/blob/6d483cd91378e35b54e54efbc6f46ad2dd634113/go2.js

    我最近正在开发另一个依赖相同脚本的项目,所以我将这个项目隔离到 an independent library project ... 检查进度如下(如果有的话)。

    【讨论】:

    • 顺便说一下,timc.idv.tw/wordcloud 完全符合 Google 身份验证方式的客户端网络应用程序。
    猜你喜欢
    • 1970-01-01
    • 2013-03-30
    • 2012-11-27
    • 2017-06-08
    • 1970-01-01
    • 2014-05-03
    • 2010-12-25
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode