Остановка запроса для пользователей, не являющихся администраторами в Google Apps Marketplace

Я внедрил приложение Marketplace Google, которое не отображает запрос, когда администратор домена (который его установил) нажимает на значок приложения (т.е. Он не отображает приглашение авторизации. Однако, когда отдельный пользователь пытается запустить приложение, он отображает приглашение как показано на рисунке ниже: Prompt for individual users

В соответствии с рекомендациями по лучшей практике это не должно происходить. Приложение доступно всем пользователям организации. Кроме того, я непосредственно делаю вызовы REST API для OAuth2.

Любые указатели будут оценены.

0
источник поделиться
1 ответ

Если вы отметили, что параметр authorized_prompt approval_prompt=force URL заставит каждый раз показывать пользователю oauth-диалог. Просто удалив этот URL-адрес, пользователь не будет запрашивать последующие потоки аутентификации.

В первый раз, когда пользователь разрешает вам (когда он видит экран утверждения), или если вы вынуждаете это с помощью approval_prompt=force то при обмене кодом auth вам будет предоставлен refresh_token и access_token.

Однако каждый раз, когда пользователь не отображается с экраном утверждения (последующий аут, когда он не использует assert_prompt = force), при обмене кодом auth вам будет предоставлен только access_token, no refresh_token. Поэтому, если этот поток вы используете, и если вы хотите иметь доступ к данным пользователя в автономном режиме, вам нужно убедиться, что вы сохраните refresh_token локально для дальнейшего использования, когда вы его получите в первый раз. Это может произойти только в том случае, если вы запрашиваете доступ к другим типам данных, чем просто данные auth, хотя (используя поток OAuth 2 вы можете запросить доступ к другим данным, например, данные API контактов, данные API календаря, данные о драйвере и т.д....), как обычно, для обычного потока Open ID не требуется автономный доступ.

Приложения могут получить доступ к API Google, пока пользователь присутствует в приложении, и этот тип приложения не может хранить секрет. Этот поток авторизации известен как поток неявного гранта.

Ниже приведен пример URL-адреса, используемый при аутентификации пользователя:

https://accounts.google.com/o/oauth2/v2/auth

Вот связанный билет, в котором обсуждается рабочий процесс авторизации: почему в OAuth2 есть поток "Авторизация", когда поток "Неявный" работает так хорошо?

0
источник

Связанные вопросы


Похожие вопросы

Посмотрите другие вопросы по меткам или Задайте вопрос