google + login 버튼을 사용하여 토큰을 클라이언트로 전달하는 방법은 무엇입니까?

Question

클라이언트 측 oauth2의 대부분의 구현에는 사용자를 로그인 페이지로 리디렉션하는 일종의 리디렉션이 필요합니다. 로그인 페이지는 성공적인 로그인 및 권한 부여시 쿼리 문자열이나 해시 조각에 토큰을 사용하여 사이트로 다시 리디렉션됩니다. 하지만 Google + 로그인 버튼이 어떻게 작동합니까? 결코 리디렉션되지 않습니다. 나는 창 안에서 이것을 할 수 있고 부모 창으로 토큰 보고서를받는 창을 가지고 있지만이 경우 로그인 버튼은 소비자의 도메인에있는 한 페이지에 대해 제어해야한다. 하지 않습니다.

Answer 1

도메인에 외부 JavaScript를로드하면 해당 페이지에 액세스 할 수 있습니다. CDN에서 jQuery와 같은 것을로드하는 것보다 훨씬 다르다.

JavaScript는 실행 된 권한 창과 함께 작동하여 해당 창에서 권한 객체를 검색 할 수 있으며 클라이언트 라이브러리는 클라이언트 측에서 토큰을 설정하고 사용합니다. 서버 측 토큰이 필요한 경우 one-time-code flow을해야합니다. 이는 리디렉션을 통해 일반적인 OAuth 서버 측 흐름보다 안전합니다.