- 我访问了一个使用 oauth 社交登录的应用
- 我选择说gmail;我被发送到 gmail 网站
- 我登录了 Gmail,然后被发送回应用程序
- 完成应用程序后,我注销
在步骤 4 之后,即使我关闭浏览器并重新打开,访问 Gmail 也会立即打开我的帐户,而不会提示输入密码。请记住,我从不让浏览器保存我的密码,也从不勾选"记住我">
我不确定普通用户是否会记得单独访问gmail以注销;这在公共计算机上将是灾难性的。
我的问题:
这是 oauth2 的设计缺陷,还是步骤 1 中应用程序的实现缺陷,还是 google-login 的实现缺陷?或者,步骤 1 中的应用在技术上是否不可能注销社交标识提供者(在这种情况下,这根本不是缺陷。
OpenID Connect 核心规范和会话管理规范定义了以下方法:
- 将用户从标识提供者中注销(链接(
-
并在最大后强制用户使用 OP 重新进行身份验证自上次用户以来已过身份验证年龄 (
max_age(认证。(链接(麻烦的是我不确定谷歌是否实现了这些东西看到这个
我已经用OpenID Connect标记了您的问题,因为身份验证不是OAuth2.0的问题。