很高兴gap-api能够让用户登录,但我想了解它是如何做到的。
在开发者文档中,它指出
然后,如果用户已经登录,GoogleAuth对象将恢复用户上一会话的登录状态。
我所知道的唯一方法是使用刷新令牌,如果存储在客户端上,则该令牌是不安全的。
这个漏洞是如何实现的?
我会参考消息来源,但我不认为它们是公开的。
它在隐藏的iframe中用prompt=none调用OAuth端点。你说得对,libs是闭源代码的,这是不使用它们的好理由。编写自己的OAuth实现并不困难。