发送用户名和密码到google oauth认证

Question

我正在 Android 中开发一个应用程序，它提供有关不同地方的信息。我已经将这些地方的图像存储在 picasa 中并使用 google api 检索它们，为此我为保存图像的用户创建了一个新的 google 帐户。

问题是当我启动 oauth 进程来获取令牌时，我得到一个新的网页，要求输入用户名和密码。由于这是技术用户，所有最终用户都不会知道用户和密码。

有没有办法将用户名和密码与其他 oauth 值（client_id、secret_id、redirect_uri 等）一起发送？

谢谢

Answer 1

Google Oauth 身份验证是一个三足过程：

1. 获取请求令牌
2. 授权请求令牌
3. 将授权的请求令牌交换为访问令牌

在此过程的第二阶段需要用户名和密码，其中用户使用其登录凭据授权客户端应用程序访问其存储在谷歌服务器中的私有数据。

现在，@Luis 提出的问题是，有没有办法将用户名和密码与其他 oauth 值一起发送？答案是否定的。无法在授权标头或授权 URI 的查询参数中发送用户名和密码。原因是用户应该始终意识到客户端（即您的应用程序）正在使用用户的数据。因此，用户始终会被重定向到要求他/她提供登录凭据的网页。这还允许用户为应用程序设置关于其私人数据的访问控制的限制。

如果允许应用程序存储和发送用户登录凭据以及 Oauth 授权标头，那么用户将永远不会知道应用程序正在使用其私有数据，也无法为应用程序设置任何类型的限制。

希望这个解释有帮助。

Answer 2

尝试将您的照片放入 Picasa 网络相册的公共图库中，在这种情况下，无需用户帐户即可访问照片。

Answer 3

如果您想避免显示登录对话框，可以尝试使用 AccountManager 获取 OAuth 令牌。这将使用保存的 Google 帐户用户名和密码在幕后有效地执行相同的操作。当然，在此之前需要在设备上注册帐户。这是一个简短的描述，您只需找到 Picasa 的正确范围并将其作为令牌类型传递： http://developer.android.com/training/id-auth/authenticate.html

您可以使用用户名和密码 ClientLogin，但已被弃用，因此在新项目中使用它不是一个好主意。