Tag: OAuth的2.0

该应用程序不断要求“有离线访问权限”，为什么？

在使用oAuth2授权应用程序并获取请求范围的权限之后，每次尝试使用Google oAuth2login时，我仍然会收到一个屏幕，询问是否允许应用程序具有脱机访问权限。 是不是不应该再次出现，一旦我授予它的权限？

什么是id_token谷歌oauth

当我尝试对googleapi执行oauth2时，我刚刚得到以下结果。 只有一件事：我找不到在文档中使用的id_token。 { "access_token" : "xxxx", "token_type" : "Bearer", "expires_in" : 3600, "id_token" : "veryverylongstring", "refresh_token" : "abcdefg"}

“此应用程序想要：具有离线访问”access_type =联机时

我有一个使用OAuth 2.0身份validation的Google App。 一切都很好，但最近我开始获得以下“请求许可”屏幕： 奇怪的部分是，当我通过access_type=online时，我得到这个屏幕。 再次，这个过去一直工作到最近。 这可能是什么原因？ TIA 编辑： 所要求的范围是： https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/userinfo.profile 我已经试过了： 有和没有access_type=online 有和没有approval_prompt=auto 编辑＃2： 这是我用来生成身份validationURL的Python代码： encoded_params = urllib.urlencode({ "response_type" : "code", "client_id" : MY_CLIENT_ID, "scope" : " ".join(MY_SCOPES), "redirect_uri" : MY_REDIRECT_URI, "state" : random_security_token, "access_type" : "online", "approval_prompt" : "auto", }) auth_url = "https://accounts.google.com/o/oauth2/auth?" + encoded_params 更新（10月14日）： 即使有新的范围，我仍然得到同意的屏幕。 最近我得到了一个我用来进行身份validation的新设备。

Google访问令牌到期时间

当我从Google API获取access_token ，会附带一个expires_in值。 根据文档，这个值表示“访问令牌的剩余生命周期”。 这个值是多less？

什么是OAuth 2中的承载令牌和令牌types？

我正在尝试从OAuth 2规范中实现资源所有者和密码凭据stream。 我无法理解使用有效响应发回的token_type值。 在规范中所有的例子都显示"token_type":"example"但是它应该是 token_type必需。 发行的令牌types，如第7.1节所述。 值不区分大小写。 有人可以向我解释这个吗？

在高层次，OAuth 2如何工作？

据我了解，以下事件链发生在OAuth 2中，以便Site-A访问来自Site-B 用户信息。 Site-A在Site-B上注册，并获得一个Secret和一个ID。 当用户告诉Site-A访问Site-B ， 用户被发送到Site-B ，他告诉Site-B他确实想给Site-A权限给特定的信息。 Site-B将用户redirect到Site-A以及授权码。 Site-A然后将该授权码连同其秘密一起传递回Site-B以换取安全令牌。 然后Site-A通过捆绑安全令牌和请求，代表用户向Site-B发出请求。 所有这些在安全和encryption方面如何在高层次上工作？ OAuth 2如何防止使用安全令牌的重放攻击？