Comment Déconnexion d'une Application dans laquelle j'ai Utilisé OAuth2 Pour vous connecter Avec Google?

Dans mon application, j'ai mis en place Google signout à l'aide de jsapi.

J'ai utilisé l'url https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=xxxxxx pour se connecter à Google et ensuite https://www.googleapis.com/plus/v1/people/xxxxxx pour obtenir les données des utilisateurs de google profil.

Maintenant, j'ai besoin de signout l'utilisateur de Google en cliquant sur un bouton de mon application. Comment puis-je mettre en JavaScript, ou, au moins, il doit demander à Google la page de connexion à chaque fois que l'utilisateur se connecte.

J'ai essayé approval_prompt=force, mais semble ne pas fonctionner.

InformationsquelleAutor Vinesh EG | 2012-10-16
  1. 208

    Vue d'ensemble de l'authentification OAuth: c'Est l'Utilisateur Qui Il/Elle a Dit qu'Il/Elle est?:

    Je ne suis pas sûr si vous avez utilisé OAuth pour vous connecter à un Débordement de Pile, à l'instar de la "Connexion avec Google" option, mais lorsque vous utilisez cette fonctionnalité, Stack Overflow est simplement en demandant à Google que si elle sait qui vous êtes:

    "Yo Google, ce Vinesh fella valoir que [email protected] est lui, est-ce vrai?"

    Si vous êtes déjà connecté, Google va dire OUI. Si non, Google va dire:

    "Attendez une seconde de Dépassement de Pile, je vais vous authentifier ce mec et si il peut entrer le bon mot de passe pour son compte Google, puis c'est lui".

    Lorsque vous entrez votre mot de passe Google, Google indique alors à Débordement de Pile vous êtes qui vous dites que vous êtes, et de Dépassement de Pile vous connecte.

    Lorsque vous vous déconnectez de votre app, vous êtes déconnecté de votre application:

    Voici où les développeurs de nouvelles à OAuth parfois un peu confus... Google et de Dépassement de Pile, Assembla, Vinesh du-très-cool-slick-webapp, sont toutes différentes entités, et Google ne sait rien à propos de votre compte sur Vinesh est cool webapp, et vice versa, en dehors de ce qui est exposé via l'API que vous utilisez pour accéder à des informations de profil.

    Lorsque l'utilisateur se déconnecte, il ou elle n'est pas de vous déconnecter de Google, il/elle est de vous déconnecter de votre application, ou d'un Débordement de Pile ou Assembla, ou quoi que l'application web Google OAuth pour authentifier l'utilisateur.

    En fait, je peux me connecter de l'ensemble de mes comptes Google et de toujours être connecté à un Débordement de Pile. Une fois que votre application ne sait qui est l'utilisateur, cette personne peut se déconnecter de Google. Google n'est plus nécessaire.

    Avec cela dit, ce que vous demandez à faire est de connecter l'utilisateur d'un service qui vraiment ne vous appartient pas. Penser comme ceci: en tant Qu'utilisateur, comment ennuyé pensez-vous que je serais si je suis connecté sur 5 services différents avec mon compte Google, puis la première fois, je me suis déconnecté de l'un d'eux, je dois me connecter à mon compte Gmail à nouveau parce que le développeur de l'application a décidé que, lorsque je me déconnecte de sa demande, je devrais aussi être déconnecté de Google? Qui va vieillir très vite. En bref, vous ne voulez vraiment pas à faire ce...

    Yeh yeh, que ce soit, j'ai encore envie de déconnecter l'utilisateur De Google, dis-moi juste comment puis-je faire cela?

    Avec cela dit, si vous toujours souhaitez connecter un utilisateur de Google, et de réaliser que vous pouvez très bien être perturbant leur flux de travail, vous pouvez créer dynamiquement l'url de déconnexion de l'un de leurs services Google bouton de déconnexion, puis invoque que l'utilisation d'un élément img ou balise script:

    <script type="text/javascript" 
    src="https://mail.google.com/mail/u/0/?logout&hl=en" />

    OU 

    <img src="https://mail.google.com/mail/u/0/?logout&hl=en" />

    OU 

    window.location = "https://mail.google.com/mail/u/0/?logout&hl=en";

    Si vous redirigez votre utilisateur à la page de déconnexion, ou de l'appeler à partir d'un élément qui n'est pas inter-domaine restreint, l'utilisateur sera déconnecté de Google.

    Noter que cela ne signifie pas nécessairement l'utilisateur sera déconnecté de votre application, seulement Google. 🙂

    Résumé:

    Ce qui est important pour vous de garder à l'esprit est que, lorsque vous vous déconnectez de votre application, vous n'avez pas besoin de faire de l'utilisateur de re-entrer un mot de passe. C'est toute la question! Il s'authentifie à l'encontre de Google de sorte que l'utilisateur n'a pas à entrer son mot de passe de plus de et plus et plus encore, dans chaque application web, il ou elle utilise. Il faut s'habituer à, mais nous savons aussi que, aussi longtemps que l'utilisateur est connecté à Google, votre application n'a pas besoin de s'inquiéter de savoir si l'utilisateur est bien celui qu'il/elle dit qu'il/elle est.

    J'ai la même mise en œuvre dans un projet comme vous le faites, utilisez le Google des informations de Profil avec OAuth. J'ai essayé la même chose, vous êtes à la recherche d'essayer, et il a vraiment commencé à faire des gens en colère quand ils avaient à se connecter à Google plus et plus encore une fois, nous avons donc arrêté la journalisation de sortir de Google. 🙂

    • Je Vous remercie pour votre temps précieux et de telles une grande description. Mais mon client d'avoir une opinion différente. Supposons que la connexion de l'utilisateur à l'application à l'aide de son google connexion à partir d'un système public et déconnecté de l'application. Il peut penser qu'il avait déconnecté de google aussi, mais en fait non! Tout autre utilisateur d'utiliser le système plus tard, permettra d'obtenir l'accès au compte google.
    • Alors que vos utilisateurs ont besoin de vous déconnecter de Google aussi. Le point est, ils sont l'exploitation forestière dans les 2 services. Vos utilisateurs ont besoin d'apprendre comment utiliser OAuth. 🙂 Je te suggère de l'éducation de votre client et les utilisateurs. Si vous avez besoin d'aller de l'avant et de les montrer. Il ne devrait pas prendre de temps pour mettre en œuvre puis d'annuler plus tard, lorsque vous vous rendez compte combien elle le suce. 🙂 Je n'y crois pas moi-même jusqu'à ce que j'ai fait cela, et vu la façon dont beaucoup d'un PITA, c'était d'avoir à ouvrir une session dans Google chaque fois que je suis déconnecté de LoopToDo. Envisager peut-être un message "Vous êtes déconnecté de Vinesh cool de l'application, n'oubliez pas de >se déconnecter de Google trop<!"
    • Thnx pour votre suggestion mec..
    • pouvez-vous vous connecter à votre application, tandis que d'autres compte google est en ligne?
    • Pas sûr que sur les autres navigateurs, mais dans Chrome, vous pouvez effectivement connecter à plusieurs comptes Google. Aussi, une fois connecté à votre app, vous pouvez vous déconnecter de Google et de vous connecter à votre autre compte. Par exemple, j'rester connecté à Débordement de Pile dans Chrome, même si je suis connecté à mon travail Gmail la plupart de la journée. Espérons que cette aide.
    • il aide merci
    • Je suis le développement d'une application mobile hybride (Ionique) avec Google OAuth et avait le même problème parce que je voulais la connexion avec un compte Google à l'autre, mais j'étais toujours connecté automatiquement. Pour le moment, je suis en train de faire un JSONP requête asynchrone à accounts.google.com/logout afin de déconnexion de l'utilisateur, mais c'est un "gros" truc et dénonce les erreurs de la console, mais je ne trouve pas d'autre solution de travail. Laissez-moi savoir si quelqu'un connaît une meilleure façon. Je n'ai pas de problème de connexion, l'utilisateur à partir d'autres services, car c'est un hybride de l'application mobile contenues dans un affichage web.
    • Merci pour cette explication. Je suis en train d'écrire ce que j'ai compris. S'il vous plaît corrigez-moi si je suis mal. - Je me connecter à l'aide de l'api google, j'obtiens les détails et puis google chose est plus. J'ai maintenant démarrer la session dans mon propre site web(rien à voir avec google) et quand je suis déconnecté de mon site, j'ai simplement supprimer mes variables (encore une fois pas de google chose req). J'ai fait exactement de la même manière, mais dans ce cas, certains cookies sont se créé quand je authentifier à l'aide de google, je ne veux pas. aucune idée de comment le supprimer de ceux?
    • Je ne recommande pas cette approche car il aborde le monde comme si votre application est la seule application dans l'existence. Lorsque nous concevons les choses, nous avons besoin de la conception à jouer très bien avec les autres. Mise à me connecter à mon compte Google plus et plus encore, de ne pas faire comme moi votre application. Il vaut mieux être un très bon, commode solution à un énorme problème, je suis face à pas me faire de fossé de votre application. Avec cela dit, je ne suis pas vraiment sûr que j'ai une réponse à votre question. Essayez de poster dans un nouveau Débordement de Pile question, de sorte que ceux avec l'expérience mobile peut répondre. Bonne chance! 🙂
    • Les cookies ne causent des problèmes? Si oui, quel genre? Pourquoi est-ce important? Il pourrait être préférable pour vous d'écrire un nouveau Débordement de Pile question et décrire votre problème plus en détail. Vous et Nuno pourrait faire référence à ce post dans votre question, afin de donner plus de contexte. Espérons que cela aide?
    • non, ils ne coûtent pas créer de problèmes, je voulais juste savoir si il y avait un moyen de les supprimer laquelle il ny a pas, je l'ai découvert. Merci pour l'aide 🙂
    • si un utilisateur ouvre une session avec un compte de médias sociaux (par exemple. Facebook ou Google)? Ne Facebook/Google retourner un jeton d'accès de l'utilisateur après une connexion réussie? Je sais qu'ils fournissent des codes d'autorisation lors de votre première connexion (lorsque l'utilisateur donne les autorisations).
    • Une fois que l'utilisateur donne l'autorisation, il n'est pas nécessaire pour les noms d'utilisateur et mots de passe ou des "agréments" plus. Si un utilisateur veut révoquer l'autorisation, ils peuvent le faire via les paramètres, mais ce n'est nécessaire que si l'utilisateur n'a pas l'intention d'avoir recours à l'application de nouveau. Espérons que cette aide.
    • Ouais je comprends qu'ils n'ont pas besoin de fournir des autorisations plus, mais comment dois-je les authentifier de nouveau? Reportez-vous à cette question que j'ai fait (je suis encore nouveau pour OAuth): stackoverflow.com/questions/37515836/...
    • N'est-ce pas déconnecter un élément important de soutenir avec OAuth? Imaginez si votre application est un middleware qui permet à un utilisateur de se connecter à un compte google (service de connexion) après que l'utilisateur a déjà signé dans le compte (compte de connexion). Imaginez dans ce cas d'utilisation, L'utilisateur veut déconnecter du service de google tandis que dans la demande. Si il n'y a pas de déconnexion, ce qui se passe est le magasin cookie sera automatiquement vous authentifier de nouveau.
    • Cependant, si l'utilisateur le mot "déconnecter" implique total vous déconnecter de l'application.. Parce que c'automatique des journaux de retour dans sans avoir à taper le mot de passe à nouveau, il y a 2 questions; utilisateur se demande ce qui se passe, j'ai juste débranché et il ne devrait pas avoir mes infos et deuxième utilisateur ne sera pas en mesure de vous connecter à un autre compte, car il va toujours de l'auto journal, sauf si la auth fournisseur fournit une méthode de connexion. Donc, dans ce cas, la déconnexion est souhaitable afin qu'il puisse invalider les cookies et vous n'avez plus à vous soucier de la façon dont elle gère sur le côté client.
    • Depuis que google fournit une méthode pour nous de déconnexion de l'utilisateur de notre application auth2.signOut(). Que fait-il exactement à faire dans une application web? Je sais que pour la déconnexion de l'utilisateur de mon application web, je dois appeler mon propre serveur script/code. Alors, qui est l'utilisation de auth2.signOut() comme montré dans google documents? Une idée? Bonne explication de la tva.
    • Je ne suis pas sûr. Je vous suggère de le googler et si tu ne viens pas avec un autre Débordement de Pile de poster ou de répondre sur le sujet, ça pourrait faire une bonne question à poste. Bonne chance! 🙂
    • J'ai effectivement trouvé que le auth2.signOut() ne fonctionne pas sur localhost :p . Depuis que nous avons spécifier une url spécifique dans OAuth Projet , lors de la création d'un id de client, il crée un jeton pour que l'identification du client et sur l'appel de auth2.signOut(); seulement le jeton invalidé. Afin de connecter l'utilisateur d'autoriser une fois de plus par l'intermédiaire de google id. Merci pour la réponse rapide 🙂
    • J'ai à peu près la même question, mais dans le contexte de python/flacon. Bien que je comprenne que de vous déconnecter de Google est un désordre approche, il y a certainement un moyen plus élégant que Google prévoit de le faire? Je serais très reconnaissant si vous pouviez prendre un coup d'oeil à ma question ici: stackoverflow.com/questions/47150564/...
    • Ceci est utile pour des Électrons d'applications, où l'utilisateur connecté avec Google! Dans ce cas, l'enregistrement hors de Google, ils sont déconnectés de la seule application (l'Électron app).

    InformationsquelleAutor jmort253
  2. 20

    Vous pouvez vous connecter et rediret de votre site:

    var logout = function() {
    document.location.href = "https://www.google.com/accounts/Logout?continue=https://appengine.google.com/_ah/logout?continue=http://www.example.com";
}
    • Enfin!!! Merci!!!! J'ai essayé pendant une journée entière pour trouver comment se déconnecter, pour éviter le prochain utilisateur que l'utilisateur précédent par un simple clic, sans connaître l'adresse email ou le mot de passe...
    • Il ne marche pas, car il suffit d'ouvrir la même page dans un autre onglet, et vous êtes connecté à nouveau...
    InformationsquelleAutor lgabster
  3. 4

    Pour moi, ça fonctionne (java - android)

    void RevokeAcess()
{
    try{
    HttpClient client = new DefaultHttpClient();
    HttpPost post = new HttpPost("https://accounts.google.com/o/oauth2/revoke?token="+ACCESS_TOKEN);
    org.apache.http.HttpResponse response = client.execute(post);
    }
    catch(IOException e)
    {
    }
    CookieManager.getInstance().removeAllCookie(); //this is clear the cookies which tends to same user in android web view
}

    Vous devez appeler cette fonction dans AsyncTask dans android

    • S'il est vrai que ce serait le travail, la question est en fait de demander à propos de JavaScript, pas de Java.
    • Qui sonne bizarre que tous vous avez besoin est un jeton, vous pouvez la force brute google pour forcer la déconnexion de tout le monde.
    • Il l'habitude de se déconnecter vous de l'appareil, il se déconnecter seulement l'application(android).
    • En regardant certains de la google oauth2 docs typique d'un jeton d'accès ressemble à ceci. "1/fFAGRNJru1FTz70BzhT3Zg" en Supposant que le "1/" la partie est juste pour les humains d'identifier le nombre de plus facile. Vous avez encore deux lettres (majuscules et minuscules), plus de dix caractères numériques avec une longueur de 22 caractères. C'est le 22^(26*2+10) ce qui équivaut à 1.6990502 e+83. Ou sur le nombre d'atomes dans l'univers connu. Bonne chance de force brute que sur HTTP. 😉
    • Cela ne semble pas révoquer l'actualisation jeton, qui pourrait être volé avant de supprimer les cookies (si il y est stocké).
    InformationsquelleAutor Vinoj John Hosan
  4. 1

    Il vous suffit de Créer un bouton de déconnexion et d'ajouter ce lien sera utimately la session à partir de l'app et de redirection vers votre site souhaité:

    https://appengine.google.com/_ah/logout?continue=http://www.YOURSITE.com

    juste basculer VOTRESITE avec votre site web

    InformationsquelleAutor Shivesh Abhishek
  5. 1

    Cela fonctionne à signer l'utilisateur de l'application, mais pas Google.

    var auth2 = gapi.auth2.getAuthInstance();
auth2.signOut().then(function () {
  console.log('User signed out.');
});

    Source: https://developers.google.com/identity/sign-in/web/sign-in

    • ce ne sera pas complètement déconnecter l'utilisateur à partir de son compte google. Il ne détruit la AuthInstance que vous avez utilisé. Votre source dit elle-même... "Vous pouvez permettre aux utilisateurs de se déconnecter de votre application sans signature de Google..."
    • mise à jour de la réponse à préciser. Cette réponse est la réponse au titre de la question, mais une fois que vous lisez la question dans plus de détails, vous comprenez le titre a été mal écrit. Cette réponse fonctionne pour n'importe qui qui l'a fait ici en fonction du titre de la question.
    InformationsquelleAutor CamHart
  6. 1

    Ouath fait juste le Google instance null, donc il vous déconnecter de Google. Maintenant que c'est la façon dont l'architecture est faite. De vous déconnecter de Google, si vous vous déconnectez de votre application est un sale boulot, mais ne peut pas l'aider si l'exigence stipule le même. Donc ajouter les lignes suivantes à votre signOut() fonction. Mon projet était Angulaire 6 app:

    document.emplacement.href = "https://www.google.com/accounts/Logout?continue=https://appengine.google.com/_ah/logout?continue=http://localhost:4200";

    Ici localhost:4200 est l'URL de mon application. Si votre page de connexion est xyz.com puis entrée.

    InformationsquelleAutor Rahul Sharma
  7. 1

    ce code fonctionne pour vous déconnecter 

        <script>
      function signOut() 
      {
        var auth2 = gapi.auth2.getAuthInstance();
        auth2.signOut().then(function () {   
        console.log('User signed out.');   
        auth2.disconnect();   
      }); 
        auth2.disconnect();
      } 
    </script>
    InformationsquelleAutor Sai Kiran Manthuri
  8. 0

    J'espère que nous pourrons atteindre cet objectif en stocker le jeton de session lors de la connexion et l'accès au jeton lorsqu'il clique sur déconnexion.

        String _accessToken=(String)session.getAttribute("ACCESS_TOKEN");
    if(_accessToken!=null)
    {
        StringBuffer path=httpRequest.getRequestURL();
        reDirectPage="https://www.google.com/accounts/Logout?
        continue=https://appengine.google.com/_ah/logout?
        continue="+path;
    }
    response.sendRedirect(reDirectPage);
    InformationsquelleAutor Janakiram