Правильный способ управления сеансом пользователя для OAuth2

Мы используем google oauth2, позволяя пользователям использовать свои существующие аккаунты Google для входа в нашу систему. .

После аутентификации, как правильно управлять активным сеансом пользователя в нашем приложении, например.

Предположим, что пользователь вошел в нашу систему с учетной записью Google A. Затем пользователь выходит/меняет учетную запись Google на учетную запись B, но не в нашем приложении, а скорее из своего gmail. Должны ли мы также вывести его из нашего приложения??? (что мне кажется странным и невозможным, поскольку должен быть API Google для проверки того, что данный пользователь в данный момент времени вошел в сервисы Google).

Единственный способ, который мне кажется разумным, - это аннулировать сеанс пользователя после заданного тайм-аута, и только тогда мы можем заставить пользователя повторно пройти поток авторизации oauth2.

Заранее спасибо за помощь.


oauth-2.0 google-oauth google-api-java-client
person basilboli    schedule 09.07.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

access_token или id_token получение вами данных из процесса входа в систему Google OAuth2 не связано с сеансами входа. в различных приложениях Google (gmail, plus, ....).

Ваше приложение не может узнать, что пользователь вышел из своей почты Gmail. Вашему приложению все равно.

Если ваше веб-приложение дает пользователю понять, какая учетная запись использовалась для первоначального входа (путем отображения имени пользователя/изображения или другой информации, полученной из вызов информации пользователя Google, все должно быть в порядке.

Например, большинство пользователей не будут пытаться связать сеанс вашего веб-приложения с сеансом gmail.

person ddewaele    schedule 13.07.2013