我已经在我的PHP网站上实现了Google OAuth2，并且登录正常。但是，注销后，用户不再需要输入其Google帐户的密码；他们只要在出现的列表上单击其Google帐户，便可以重新登录。这不是安全隐患吗？

这是使用google-api-php-client版本2.2.2的基本PHP 7.4设置。

我注销用户

unset($_SESSION["access_token"]);
$gClient->revokeToken();
session_destroy();

因为我将访问令牌存储在会话变量中。

无论您是第一次还是以后的登录，我都希望登录过程-输入google帐户名-接下来-输入密码-接下来-相同。但是，第一次后您不会被提示输入密码。

我试图包括一个包含Google注销页面的隐藏iframe，如下所示：

<iframe id="logoutframe" src="https://accounts.google.com/logout" style="display: none"></iframe>

但这使我完全登出-在其他浏览器标签上的其他网站上，我也觉得很不方便。