Api de la consola de Google
Los métodos de la extensión AuthenticationBuilder que registran un controlador de autenticación sólo pueden ser llamados una vez por esquema de autenticación. Existen sobrecargas que permiten configurar las propiedades del esquema, el nombre del esquema y el nombre para mostrar.
Si la aplicación se despliega detrás de un servidor proxy o un equilibrador de carga, parte de la información de la solicitud original puede ser reenviada a la aplicación en las cabeceras de la solicitud. Esta información suele incluir el esquema de solicitud seguro (https), el host y la dirección IP del cliente. Las aplicaciones no leen automáticamente estas cabeceras de solicitud para descubrir y utilizar la información de la solicitud original.
Plataforma de mapas de Google
Una vez que creamos el proyecto y habilitamos las APIs nuestro siguiente paso es obtener el ClientID / Secret de OAuth. Antes de obtenerlo tienes que configurar algunas propiedades de tu pantalla de consentimiento de OAuth. La mayoría de los campos son opcionales en esta pantalla, pero complétalos si planeas publicar esta aplicación API para otros usuarios (es decir, una aplicación pública).
Puedes utilizar el ClientID y el ClientSecret generados para iniciar el proceso de autorización OAuth. No vamos a cubrir cómo funciona, pero a continuación se muestra una simple captura de pantalla de cómo estas dos piezas de información se utilizan para llamar a la pantalla de consentimiento con algún permiso deseado solicitado por la aplicación que llama:
Si el navegador incrustado tiene algún problema para extraer su token, puede cerrar la ventana pulsando [X] en la barra de título. Una vez que lo haga, se le pedirá que utilice el navegador por defecto del sistema para finalizar la extracción del token. Si hace clic en Sí, se iniciará el navegador completo.
Google api
Si necesita reducir los tiempos de inicio, puede instalar alternativamente un submódulo como su propia dependencia. Hacemos un esfuerzo por publicar submódulos que no están en esta lista. Para añadirlo como dependencia, ejecute el siguiente comando de ejemplo, sustituyéndolo por su API preferida:
En los siguientes ejemplos, puede necesitar CLIENT_ID, CLIENT_SECRET y REDIRECT_URL. Puedes encontrar estas piezas de información yendo a la consola de desarrollador, haciendo clic en tu proyecto –> APIs & auth –> credenciales.
Los tokens de acceso caducan. Esta biblioteca utilizará automáticamente un token de actualización para obtener un nuevo token de acceso si está a punto de expirar. Una forma fácil de asegurarse de que siempre almacena los tokens más recientes es utilizar el evento tokens:
Este evento tokens sólo se produce en la primera autorización, y necesitas haber establecido tu access_type a offline cuando llames al método generateAuthUrl para recibir el token de refresco. Si ya le has dado a tu aplicación los permisos requeridos sin establecer las restricciones apropiadas para recibir un token de actualización, tendrás que volver a autorizar la aplicación para recibir un token de actualización nuevo. Puede revocar el acceso de su aplicación a su cuenta aquí.
Qué es la clave api
El flujo de la dirección IP de Loopback es vulnerable a un ataque de hombre en el medio en el que una aplicación maliciosa, que accede a la misma interfaz de loopback en algunos sistemas operativos, puede interceptar la respuesta de OAuth y obtener acceso al código de autorización. Tenemos la intención de eliminar este vector de amenaza al no permitir este flujo para los tipos de clientes OAuth de aplicaciones iOS, Android y Chrome. Los clientes existentes podrán migrar a métodos de implementación más seguros. Los nuevos clientes no podrán utilizar este flujo a partir del 14 de marzo de 2022.
OAuth out-of-band (OOB) es un flujo heredado desarrollado para soportar clientes nativos que no tienen un URI de redirección como las aplicaciones web para aceptar las credenciales después de que un usuario apruebe una solicitud de consentimiento OAuth. El flujo OOB supone un riesgo de phishing remoto y los clientes deben migrar a un método alternativo para protegerse de esta vulnerabilidad. Los nuevos clientes no podrán utilizar este flujo a partir del 28 de febrero de 2022.
