0

我正在编写一个应用程序并使用 OAuth 进行身份验证和获取用户的电子邮件。我已成功进行身份验证,但不确定如何管理会话。我想保护我的资源,但我不认为每次用户进入新页面时我都想重新进行身份验证。

当前流量

  • 用户点击“使用 Google 登录”
  • 用户被重定向到 Google 以批准请求
  • 服务器获得用户批准的令牌
  • 服务器使用令牌获取电子邮件

现在怎么办?

我将 OAuth2 用于支持它的服务(Facebook、Google)和 OAuth1a 用于那些不支持它的服务。

在用户访问网站期间,我很难找到返回用户的流程和维护身份验证。是否有关于维护会话或返回用户的最佳实践的良好资源?

4

1 回答 1

0

当用户通过 google 登录时,您的应用将获得一个(刷新 + 访问)令牌对。您可以使用访问令牌来获取用户的资源,并且可以在需要时使用刷新令牌来获取更多访问令牌。您的应用可以在需要时通过交换刷新令牌来获得更多访问令牌。因此,只要提供商提供刷新令牌,它就是答案。

有关如何在 facebook 上完成此操作的更多详细信息,请参见此处 - Refresh token and Access token in facebook API

此外,问题评论中提到的链接包含您应该看到的一个很好的答案。随时发布更多查询。

于 2013-06-21T12:29:40.613 回答