我有一个关于Oauth2登录谷歌API的问题。假设我的应用程序知道用户的凭据(安全地存储在我的应用程序的数据库中的某个地方),是否有一种方法可以通过从后端以某种方式预填写用户名和密码来绕过登录屏幕,以便Oauth2确认屏幕获取访问令牌只显示范围权限确认?
OAuth2的主要优点之一是它允许用户允许您的应用程序访问某些资源或其他,而无需提供其登录凭据。例外是"password"授权,它允许客户端应用程序代表用户执行操作,但通常不鼓励。
谷歌的登录屏幕是从他们的网站加载的,所以你不能控制它呈现的数据或绕过它。关于OAuth的另一件重要事情是,用户通常可以决定是否授予访问权限。如果用户之前已经授权访问您的应用程序,并且已经登录到Google,那么他们可能会被重定向而不必再次登录。
你真的不应该在你的网站上存储用户的Google凭据——不管你认为它们有多安全——像OAuth这样的标准存在的主要原因之一就是为了避免这种情况。