我们的生产 Android 应用程序使用 Chrome 自定义选项卡进行 OAuth 登录
昨天 Chrome 版本为 61.0.3163.98 时工作正常
在将 Chrome 连夜更新到 72.0.3626.76 后,登录过程卡在嵌入式浏览器中,用户看到的是空白屏幕。
如果我们卸载 Chrome 更新,登录将再次开始工作
Chrome 和/或 Chrome 自定义选项卡有哪些更改会中断我们的登录流程?
如果我将默认浏览器切换为 Firefox,我的应用程序登录工作正常。
事实上,如果我将默认浏览器更改为 chrome 以外的任何浏览器,它都可以正常工作,甚至 Opera 也可以,尽管 Opera 没有显示嵌入式浏览器。
当我卸载 Chrome 更新并恢复到 Chrome 版本 61.0.3163.98 时,它也有效
更多细节:-
Step 1). Load URL with prompt=none and my custom scheme Redirect URL.
Step 2). My App receives a NEW INTENT containing the auth code.
Step 3). I attempt to access my back end APIs with this code, which fails with 400
Step 4). Load URL prompt=login and my users are presented with a sign in screen where they enter their credentials and click on the Sign In button.
Step 5). NOTHING HAPPENS, the user is presented with a blank screen, my app does not receive a NEW INTENT.
这是我用来通过 Chrome 自定义标签打开登录 URL 的代码
private void openCustomTab() {
codeVerifier = generateRandomCodeVerifier();
checkCodeVerifier(codeVerifier);
codeChallenge = deriveCodeVerifierChallenge(codeVerifier);
CustomTabsIntent.Builder builder = new CustomTabsIntent.Builder();
CustomTabsIntent customTabsIntent = builder.build();
customTabsIntent.launchUrl(this, getURL(PROMPT_NONE));
}
上面的代码加载了 prompt=none 的 URL,它还指定了我的自定义方案重定向 url。
我的 Android 应用程序在 onNewIntent 中收到一个包含 authCode 的新 Intent,我尝试使用此 authocode 检索访问 token ,但失败并返回 400。
然后我使用自定义选项卡加载第二个 URL,prompt=login 如下:-
final CustomTabsIntent.Builder builder = new CustomTabsIntent.Builder();
builder.setToolbarColor(Color.BLUE);
final CustomTabsIntent customTabsIntent = builder.build();
customTabsIntent.launchUrl(SignInActivity.this, getURL(PROMPT_LOGIN, authCode));
通过使用 prompt=login 加载此 URL,用户可以输入他们的凭据并单击“登录”按钮。
此时 Chrome 自定义标签卡住了。
这是我使用 Stetho 捕获的网络调用,最后一次调用是 authorization.ping,显示为已取消
我已找到解决此问题的方法如下:-
我在现有的“无”然后“登录”提示的基础上增加了一个“同意”提示。
现在用户看到标题为
的同意屏幕oauth.approval.page.template.title
用户可以在其中看到 optional 列表,包括
ACCESS TO YOUR DATA
SIGN IN WITH OPENID CONNECT
OPENID CONNECT PROFILE SCOPE
OPENID CONNECT EMAIL SCOPE
在这个屏幕的底部有两个选项
oauth.approval.page.template.allow
oauth.approval.page.template.dontAllow
当用户选择时
oauth.approval.page.template.allow
他们现在可以继续使用 Android 应用程序了。
唯一的问题是用户每次登录都会看到这个批准屏幕
最佳答案
我最近回答了同样的问题,我相信 chrome 的更新增加了一些安全层。我之前在使用不同的浏览器(带有不同非官方自定义 ROM 的普通浏览器)时也遇到过同样的问题,我认为如果其他浏览器实现相同的行为,我们是不安全的。
为了避免所有这些问题,我建议您实现一个暂存页面来处理所有 OAuth2 重定向。
该解决方案还具有避免用户每次都“允许”登录的优点。
您可以在这里找到详细的答案:How to implement OAuth single Sign In/Sign Out with Chrome Custom Tabs
关于android - 为什么 Android Chrome 从 61.0.3163.98 更新到 72.0.3626.76 会破坏 Chrome 自定义选项卡中的 OAuth 登录?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54439006/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
这是在Ruby中设置默认值的常用方法:classQuietByDefaultdefinitialize(opts={})@verbose=opts[:verbose]endend这是一个容易落入的陷阱:classVerboseNoMatterWhatdefinitialize(opts={})@verbose=opts[:verbose]||trueendend正确的做法是:classVerboseByDefaultdefinitialize(opts={})@verbose=opts.include?(:verbose)?opts[:verbose]:trueendend编写Verb
我想向我的Controller传递一个参数,它是一个简单的复选框,但我不知道如何在模型的form_for中引入它,这是我的观点:{:id=>'go_finance'}do|f|%>Transferirde:para:Entrada:"input",:placeholder=>"Quantofoiganho?"%>Saída:"output",:placeholder=>"Quantofoigasto?"%>Nota:我想做一个额外的复选框,但我该怎么做,模型中没有一个对象,而是一个要检查的对象,以便在Controller中创建一个ifelse,如果没有检查,请帮助我,非常感谢,谢谢
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串