确认 Facebook/Google OAuth2 中的用户凭据

Confirming user credentials in Facebook/Google OAuth2

场景:我一直在开发一个用于管理中小企业的网络应用程序。前段时间,我们使用了存储在数据库中的登录名和密码身份验证。如今 "everyone uses facebook" 我们也转向了 Facebook/Google OAuth2 身份验证。

问题是,有一些关键操作必须特别安全(例如更改地址、访问客户的详细信息)。我想最好的方法是在执行这些有风险的操作之前要求用户重新输入凭据。但是,由于我使用社交身份验证,我无法再确认凭据:(

有什么方法可以强制 Facebook 或其他 OAuth2 提供商重新要求用户提供凭据,即使他们已经登录了吗?

我认为这可能对某些人有用。

我在 https://www.airbnb.com 上发现了这样的凭据确认,但仅适用于 facebook。

爱彼迎使用 https://www.facebook.com/login/reauth.php 作为身份验证 url

此处广泛描述了 Facebook 重新验证机制:

https://developers.facebook.com/docs/facebook-login/reauthentication

对于Google,可以通过将max_auth_age参数设置为0

来强制重新验证

No prompt for re-authentication with OAUth2. Why and how to force it?