我正在关注如何实施Google登录的Google tutorial:除了RADIUS和Active Directory,我想在我的网站上提供基于Google的登录。
出于测试目的,我有两台机器(host1和host2):host2有一个SimpleHTTPServer Python模块,其中加载了一个网页,其中只显示了登录按钮,host1连接到host2并单击按钮以便重定向到主页页。
我通常的登录提示是由两个空矩形组成,用户输入他们的用户名和密码(RADIUS和AD登录),而使用Google登录时,他们不会输入矩形,而是单击登录按钮并在新窗口中输入凭据那会打开。
我想将凭据插入与发送到Google服务器分开:我希望用户能够在我为RADIUS和AD登录提供的相同登录提示中输入他们的Google用户名和密码;然后,我在另一个旁边的另一个登录按钮,也许是在里面写着“Login with Google”。
不,你不能也不应该被允许这样做。
如果你能够这样做,那就意味着你可以捕获某人的Google凭据并成功登录,这样他们就会在谷歌登录时实际上你偷了他们的凭据。这是一个巨大的安全风险,所以即使你找到了一种方法来实现这项工作,谷歌也会积极关闭你的漏洞以增加他们的安全性。
任何第三方授权服务都需要从头到尾拥有身份验证过程。如果他们允许像你这样的人将自己注入作为中间人,将用户的凭据传递给他们,那将完全违背他们所有的安全措施。
您也不应该尝试这样做以方便用户使用。如果用户点击“使用Google登录”,则会发生以下两种情况之一; 1.他们将Google凭据输入Google表单,或者2.他们已经登录Google,他们只是允许您的网站访问您网站所需的任何身份信息。现在,在后续登录时,如果我已经使用Google登录(例如我检查了我的Gmail或其他内容),当我点击“使用Google登录”时,我会自动登录,无需额外输入用户名/密码!但是如果你在混合中注入你的自定义登录表单,现在我需要第二次输入我完全相同的凭据来授权自己使用我已经授权的东西。这令人难以置信的烦人和用户敌对设计。
所以基本上,不,不。