我正在编写一个应用程序并使用 OAuth 进行身份验证和获取用户的电子邮件。我已成功进行身份验证,但不确定如何管理会话。我想保护我的资源,但我不认为每次用户进入新页面时我都想重新进行身份验证。
当前流量
- 用户点击“使用 Google 登录”
- 用户被重定向到 Google 以批准请求
- 服务器获得用户批准的令牌
- 服务器使用令牌获取电子邮件
现在怎么办?
我将 OAuth2 用于支持它的服务(Facebook、Google)和 OAuth1a 用于那些不支持它的服务。
在用户访问网站期间,我很难找到返回用户的流程和维护身份验证。是否有关于维护会话或返回用户的最佳实践的良好资源?