我在我的 google+ 登录按钮实现中使用一次性代码流,但是来自 tokeninfo 端点的响应中的 user_id 与我的 javascript 我的 javascript 回调从登录按钮接收到的对象中的 id_token 不匹配。
在文档中的示例代码中,根据名为 gplus_id 的请求参数检查 tokeninfo 对象中的 user_id,但示例 javascript 不发送此参数,所以我不知道我是否正在检查正确的东西。
因此,要清楚我正在谈论的特定代码部分:
使用此示例代码在服务器上处理一次性代码,它使用名为 gplus_id 的请求参数。
本节中的代码将一次性代码发送到服务器,但正如我所见,它没有发送 gplus_id
示例页面上的第 6 步似乎不完整,应该发送 gplus_id,但不是。
查看https://github.com/googleplus/gplus-quickstart-java/blob/master/index.html中的 connectServer 函数(以及调用它的函数),以获取有关如何获取用户的更完整示例ID 并将其传递给服务器进行验证。
(我将尝试联系负责文档的人员,以使其在快速入门示例中的平台上得到更新和一致。您还可以跟踪错误 573以查看他们修复文档的进度。)
注意:值得注意的是,发送 gplus_id 有点多余。您已经信任从客户端发送的代码,并且您正在通过从代码派生的步骤获取 ID。因此,虽然通过和检查 gplus_id 是一个很好的健全性检查,但它确实不会为您带来任何额外的安全性。