我有一个允许人们用他们的Google帐户注册/登录的平台。在平台内部,有一个日历功能,人们可以连接他们的谷歌日历,并在我们的应用程序之间共享数据。
我想知道是否有一种方法将谷歌日历与正常登录的东西分开,所以当他们与谷歌注册时,我们不会要求他们的谷歌日历许可。一旦他们进入应用程序,如果他们想要连接他们的谷歌日历,他们可以通过点击另一个按钮来完成。
目前,这两件事是联系在一起的,我想把它们分开。我的app是https://clascity.com/
任何帮助都非常感谢!
仅仅因为你使用Google sign (openid connect)并不意味着你有权限访问用户的Google日历数据。
Google日历数据是私有用户数据,你需要特定的权限才能访问用户的日历数据,你不能只让他们登录而不请求访问你需要访问的数据的权限。用户需要知道您将访问哪些数据,并通过google提供的授权表单接受这些数据。
是的,事实上,您的建议被认为是最佳实践[1]。使用此处所描述的增量授权[2]。
[1] https://developers.google.com/identity/protocols/oauth2/policies unbundled-consent
[2]https://developers.google.com/identity/sign-in/web/incremental-auth