有人能解释一下GITkit v2吗？

Question

我正在尝试集成GITkit v2 ( https://developers.google.com/identity-toolkit/v2/acguide )；我在理解文档中的一些内容时遇到了问题，希望有人能对此有所了解。

1)示例中的回调是否使用了HTTPS来阻止某些跨站脚本("XSS")向量，因此强烈推荐用于回调？如果是这样的话，它是否也被推荐用于loginUrl，以及其他可能的系统？

2)在identitytoolkit.setConfig({})中，您必须指定HomeUrl，但根据1.{/homeUrl}部分，GITkit v2似乎不再自动重定向到您的主页(为什么您必须指定它两次？)

3)在执行回调逻辑之后(知道用户是否已经注册)，是否应该将1.Html中的{/homeUrl}回显到回调页面上？有人能给我解释一下GITkit v2的确切工作流程吗？

我在过去的几个小时里一直在阅读，我就是弄不明白这些问题。非常感谢任何答案(即使它不能回答所有问题)，任何额外的信息也是非常感谢的！

Answer 1

回调从IDP接收响应，因此可能包含来自OAuth的个人信息。最好使用HTTPS进行回调，以及遗留登录和注册。

<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js"></script>
<script type="text/javascript" src="https://ajax.googleapis.com/jsapi"></script>
<script type="text/javascript" src="https://www.accountchooser.com/client.js"></script>
<script type="text/javascript">
  google.load('identitytoolkit', '2', {packages: ['store']});
  jQuery(function() {
    var homeUrl = '/'; // Your home page URL.
    var account = {
      email: 'user@idp.com',
      displayName: 'User Name',
      photoUrl: 'http://website.com/img/user.png'
    };
  window.google.identitytoolkit.storeAccount(account, homeUrl);
  });
</script>

如果确实应该发布在回调页面上(在您的逻辑之后)，请确保用OAuth - displayName返回的值替换默认值，并且photoUrl是可选的。

最后，小部件内的homeUrl用于在传统登录之后重定向用户。:-)