Bei der erneuten Autorisierung von Google OAuth2 fehlen Berechtigungen für die Zustimmungsseite

8

Wenn ich einen Nutzer zwinge, meine Anwendung ein zweites Mal zu autorisieren, indem ich approval_prompt=force verwende, wie kann ich Google dazu bringen, dem Nutzer die vollständige Liste der Berechtigungen zu zeigen, die meine App anfordert?

Details:

Ich habe eine Webanwendung, die eine Reihe von Google API-Berechtigungen anfordert, einschließlich access_type=offline . Wenn ich es zum ersten Mal genehmige, wird die richtige Einverständniserklärung angezeigt, auf der alle Berechtigungen aufgeführt sind, die wie folgt aussieht:

Später sende ich den Nutzer zur Autorisierung mit Google mit denselben Parametern zurück. Beim zweiten Mal wird nur "Offline-Zugriff" angezeigt:

Warum zeigt es den Benutzern nicht alle Berechtigungen? Gibt es eine Möglichkeit, es zu zwingen, den Benutzer ein zweites Mal nach allen Berechtigungen zu fragen? Warum zeigt es jetzt zum ersten Mal "Offline-Zugriff"?

Unsere Nutzer finden es verwirrend, dass unsere App keine tatsächlichen Berechtigungen verlangt. Daher möchte ich den ersten Bestätigungsbildschirm einfach noch einmal zeigen.

Die vollständigen Parameter für die Anfrage, die ich mache, sind wie folgt. URL:

%Vor%

Parameter ausgebrochen:

%Vor%     
Evan Jones 12.12.2013, 22:14
quelle

2 Antworten

8

Wir haben inkrementelle Auth gestartet und dies funktioniert wie geplant.

Ссылка

Die Idee ist, wenn ein Benutzer einer App bereits die Berechtigungen erteilt hat, müssen nicht dieselben Berechtigungen angezeigt werden und der Benutzer zur Genehmigung aufgefordert werden.

Wenn Sie Ihre Anwendung richtig schreiben, sollte diese Situation nicht auftreten. Wenn Sie einen Offline-Code (Refresh-Token) anfordern und auf Ihrem Backend speichern, sollten Sie nicht mehr danach gefragt werden, es sei denn, Sie müssen einige neue Bereiche / Berechtigungen erhalten. Sie sollten das Aktualisierungstoken verwenden, das Sie in der Zukunft gespeichert haben. Wenn Sie das Zugriffstoken nur benötigen, wenn sich der Benutzer auf Ihrer Site befindet, können Sie mit anderen Flows ein Zugriffstoken anfordern, ohne dass der Benutzer eine Genehmigungsseite sieht.

    
nvnagr 15.12.2013, 05:32
quelle
0

Sie müssen das Zugriffstoken widerrufen und sich abmelden. Wenn Sie sich dann anmelden, wird die Erlaubnis angezeigt.

%Vor%

Dieser Netzwerkprozess sollte in non ui thread oder asyntask

aufgerufen werden     
Vinoj John Hosan 08.07.2014 06:38
quelle

Tags und Links