在 Google One Tap(Google Identity Services) 中配置 “已获授权的 JavaScript 来源(Authorized JavaScript origins)” 是为了 安全性。它确保只有来自你允许的网站、域名或端口的前端页面,才可以向 Google 发起登录请求。
✅ 为什么需要配置 “已获授权的 JavaScript 来源”?
1. 防止恶意网站盗用你的 OAuth Client ID
Google One Tap 是在浏览器中运行的 JS SDK,如果不限制来源:
- 任何网站都可以使用你的
client_id - 用户在别人网站上可能误触登录
- 恶意网站可以冒充你的应用完成登录流程
配置“已获授权的来源”后,只有你设置的域名才能调用 Google 登录。
2. Google 需要确认请求来源合法
Google 在处理 One Tap 请求时,会检查:
origin(协议+域名+端口)
referer
只有在你的 OAuth 控制台中添加过的 origin 才会通过验证。
例如:
https://localhost:3000
https://yourdomain.com
https://staging.yourdomain.com
否则就会报错:
This origin is not authorized for your client ID
3. 防止 CSRF / OAuth 攻击
限制来源可以阻止:
- OAuth token 被第三方滥用
- 登录窗口被伪造
- 外部网站触发非预期登录
这是 OAuth 最基本的安全保护。
🧩 配置时必须写的格式
Google 检查的是 origin(协议 + 域名 + 端口),不能带路径。
✔ 正确:
https://localhost:3000
https://example.com
https://sub.example.com
❌ 错误:
https://example.com/login
https://example.com/callback
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
