medium.comはどのようにしてGoogleアカウントを認識しますか？

Question

今日 medium.com の記事に行ったところ、通常はリピーターに表示される煩わしい全画面ポップアップの代わりに、右上隅に次のように表示されました。

ミディアムページのすぐそこに、私の名前とグーグルのメールアドレスがあります！私はMediumのアカウントを持っていませんし、直接リンクを受け取ったさまざまな記事を読んだだけです。

Mediumはこのポップアップをどのように表示できますか？私は彼らに私が誰であるかを告げる記憶がありません、そしてクロスオリジン保護についてのすべての話で、これはそれが可能であるはずであるようには思えません。

私はおそらくそれがグーグルによって提供されるポップアップ機能であると思います、しかしそれはそれが私の名前と電子メールを盗むためにどんなサイトによっても簡単に悪用される可能性があるように聞こえます。私はFirefoxを使用しているため、おかしなchrome機能にすることはできません。

Kevin Voorn · Accepted Answer

Web開発者は GoogleサインインをWebサイトに統合するを実行できます。

Googleログインは、OAuth 2.0フローとトークンのライフサイクルを管理し、Google APIとの統合を簡素化します。ユーザーはいつでもアプリケーションへのアクセスを取り消すことができます。

Webサイトは、ログイン時にあなたの名前や電子メールなどの情報にアクセスできます。ログインボタンまたはポップアップをカスタマイズする方法はたくさんあります。そのため、ページに統合されているように見える場合がありますが、実際にはHTTPS経由でGoogleによって提供されています。これは、実際にGoogle APIによって提供されているため、ウェブサイトがあなたの名前を表示できる理由でもあります。この特定の例では、同じ起源のポリシーが原因で情報が媒体と共有されるのを防ぐiframeが使用されています。

Justin Massey · Answer

彼らは、現在閉鎖されているGoogleのベータ機能の1つを含むiframeを介してそれを行います。 iframeは、次のMediumのWebサイトのスクリーンショットで確認できます。

ただし、これは媒体がユーザー情報にアクセスできることを意味しますではありません。 iframe内のコンテンツはサンドボックス化されており、GoogleがMediumのドメインにアクセスを許可する同じOriginポリシー権限を追加した場合にのみアクセスできます。 iframeを使用したクロスOriginポリシーの詳細については、 this Mediumの記事を参照してください。