Twitter bootstrap 如何处理谷歌提供的OAuth2URL_Twitter Bootstrap_Oauth 2.0_Google Oauth

Twitter bootstrap 如何处理谷歌提供的OAuth2URL

twitter-bootstrap oauth-2.0

Twitter bootstrap 如何处理谷歌提供的OAuth2URL,twitter-bootstrap,oauth-2.0,google-oauth,Twitter Bootstrap,Oauth 2.0,Google Oauth,我已经在我的应用程序中创建了一个很好的OAuth2服务，这样我的web客户端就会发出如下请求： URI: /user/link?service=YT Method: GET 服务的响应如下： { status: "SERVICE_NOT_LINKED", auth_url: "http://somelonggoogleaddress..../" } 这里的想法是，我将把auth_url加载到一个引导模式对话框中，让用户授权我的应用程序，当Google OAuth服务器重定向并回调

我已经在我的应用程序中创建了一个很好的OAuth2服务，这样我的web客户端就会发出如下请求：

URI: /user/link?service=YT
Method: GET

服务的响应如下：

{
   status: "SERVICE_NOT_LINKED",
   auth_url: "http://somelonggoogleaddress..../"
}

这里的想法是，我将把auth_url加载到一个引导模式对话框中，让用户授权我的应用程序，当Google OAuth服务器重定向并回调到我的系统中时，我将在模式中显示一条友好消息，告诉他们已成功通过YouTube或其他方式授权，并且他们可以关闭模式

我面临的问题是，我似乎无法通过简单地将它的远程属性设置为来自谷歌的url来实现这一点。发生的情况是，我收到一个错误，说明我无法显示其他网站的内容

我如何克服这个问题？我是否必须通过自己的服务代理请求？也就是说，在我的应用程序中创建一个服务器端服务，从google加载URL并返回要在popover中使用的内容

另外，我不想进行整版重定向，我觉得这不是我们应用程序的最佳用户体验选择。

我认为这是预期的效果-请参阅类似内容。谷歌用户不应该在任何他们无法轻易验证的页面中输入密码，例如通过检查URL栏。我相信这是正常的-参见类似内容。谷歌用户不应该在任何他们无法轻松验证的页面中输入密码，例如通过检查URL栏。好的，Bootsrap remote没有使用iframe。我怀疑OP收到的错误消息与CORS有关。我的评论与使用的机制无关-按预期工作不允许隐藏登录页面的URL-谷歌用户不应在任何无法验证是否由谷歌合法服务的页面上输入密码。这是正确的。我认为在一个新的弹出窗口中打开登录页面是最好的UX选择。任何一个正常的用户都不会在错误的域中输入密码。如果你试图让用户在你的服务中输入他们的凭据，谷歌可以合法地将你的应用标记为恶意。好了，Bootsrap remote没有使用iframe。我怀疑OP收到的错误消息与CORS有关。我的评论与使用的机制无关-按预期工作不允许隐藏登录页面的URL-谷歌用户不应在任何无法验证是否由谷歌合法服务的页面上输入密码。这是正确的。我认为在一个新的弹出窗口中打开登录页面是最好的UX选择。任何一个正常的用户都不会在错误的域中输入密码。如果你试图让用户在你的服务中输入他们的凭据，谷歌可以合法地将你的应用标记为恶意。根据我的经验，你可能不得不在你的用户体验理念上妥协。Oauth的主要目标是安全性，它非常喜欢将浏览器窗口和URL连接到自己，这样用户就可以确保一切正常。我怀疑你最后的建议。。。通过我自己的服务代理是正确的。我不建议尝试通过您自己的服务代理OAuth登录和同意页面。除了安全问题外，OAuth的一个主要目标是避免应用程序需要处理密码，在本例中，您将代理这些密码-我怀疑它将改善用户体验。用户现在除了给予同意外，还需要第二次登录。通常情况下，用户可能已经登录到与谷歌的会话中——通过代理需要另一个会话的服务。根据我的经验，您可能不得不在用户体验理念上妥协。Oauth的主要目标是安全性，它非常喜欢将浏览器窗口和URL连接到自己，这样用户就可以确保一切正常。我怀疑你最后的建议。。。通过我自己的服务代理是正确的。我不建议尝试通过您自己的服务代理OAuth登录和同意页面。除了安全问题外，OAuth的一个主要目标是避免应用程序需要处理密码，在本例中，您将代理这些密码-我怀疑它将改善用户体验。用户现在除了给予同意外，还需要第二次登录。通常情况下，用户可能已经登录到与谷歌的会话中——通过代理需要另一个会话的服务。