我正在开发一个网络平台,我注意到一个奇怪的行为。
- 打开网络浏览器
- 转到网站
- 通过谷歌登录
- 注销
- 通过谷歌登录新帐户
- 在权限屏幕上单击取消
这将导致用户在第一个帐户中登录。这是Oauth的标准行为吗?
您描述的行为与Google自己的会话管理有关,而不是与OpenID连接协议有关。
OpenID Connect正在逐步取代OAuth 2.0,Google参与了新协议的定义。
您可以在协议中看到Google的指纹,正好在您描述的区域。 处理多个帐户之间的选择。 请看 3.1.2.1。 字段提示符上的身份验证请求,并考虑为什么值select_account存在。
无论如何,您描述的行为(其中身份服务器使用最近注销的帐户上的有效代码响应身份验证请求(是不正确的。
给谷歌它确实符合协议的荣誉,我建议你查看网络通信,看看谷歌端点是否实际上为错误的用户返回了有效的身份验证,或者它是保留旧会话的依赖方。
祝你好运
埃亚尔
感谢您的报告。我们将对此进行调查并做出回应。我同意用户在看到帐户 B 的批准页面并点击取消时不应登录到第一个帐户。
我们会针对以下情况进行优化:用户登录到两个帐户,并且一个帐户已批准,然后我们会自动选择该帐户。