谷歌已经宣布他们正在迁移他们的身份验证服务,以巩固API的工作方式,并据称使他们“更简单” . 我们希望确保我们的应用程序能够正常运行,但不确定我们采取的步骤是否足够 .
我们有一个Java服务器应用程序,它使用 google-oauth-client 及其 AuthorizationCodeFlow 来授权用户 . 我们在Google Developers Console中创建了一个用于Web应用程序的客户端ID . 我们也在那里定义了一个重定向URI . 我们使用开发人员控制台中的密钥和密钥来创建GoogleAuthorizationCodeFlow . 从该对象创建授权URL时,我们提供了在开发人员控制台中定义的重定向URL .
我们更改了范围“https://www.googleapis.com/auth/userinfo.email " to " email”(我们现在用它来调用 plus.people().get("me") 而不是 oauth2.userinfo().v2().me().get() ) . 最后,我们在创建GoogleAuthorizationCodeFlow时提供的范围是"email","openid"和“https://www.googleapis.com/auth/calendar” .
我们使用获得的令牌来操纵用户的日历并找出用户的电子邮件 .
我们感觉整个授权如何工作的文档和迁移指南有点过于分散,很难理解整个过程背后的基本原理 .
在开发我们的应用程序时,我们已尽最大努力全面了解OAuth 2.0以及它如何与Google API协同工作 . 我们已阅读文档,参加了OAuth 2.0研讨会并遵循了Google的指南 . 我们认为我们对幕后发生的事情有了很好的理解 . 但是,通过此迁移指南,我们产生了混乱 . 我们实际上是否正在使用OAuth 2.0登录?我们是否正在使用OpenID 2.0(因为我们使用opeind和电子邮件范围来接收用户的电子邮件以及令牌)?我们使用OpenID OAuth混合?所有这些选项都有关于如何迁移的单独子指令,这无助于混淆 . 所以我们的问题是:迁移过程完成后,此设置是否有效?我们误解了什么吗?
1 回答
在切换器日期之后我们没有遇到oauth的麻烦,这意味着我们已采取的步骤(在我们的问题中被证实的那些)足够并且服务工作正常 .