3

好的,我一直在尝试获得 Tim Bray 的文章Verifying Back-End Calls from Android Apps所描述的美妙必杀技。我可以通过调用 GoogleAuthUtil.getToken() 从我的 android 应用程序中成功获取令牌。我将令牌作为标头 Authorization Bearer 字段传递给我的 php 服务器。这就是我卡住的地方。

我现在应该怎么做才能验证令牌是从我的 android 应用程序为与我的服务器项目相同的项目生成的?如何从令牌中获取 user_id?谢谢。

在 Google 控制台上,我的 php 服务器和 android 应用程序都在同一个项目上。在我的 php 服务器上,我可以链接 android/google-api-php-client/src/Google_Client.php 和 android/google-api-php-client/src/contrib/Google_PlusService.php 库代码。

4

2 回答 2

4

我们在 GitHub 上有用于验证来自您的服务器的令牌的示例代码和说明。这是 PHP 中的示例。

https://github.com/googleplus/gplus-verifytoken-php

这是库调用:

$client->verifyIdToken($id_token, CLIENT_ID)

使用客户端库的一个优点是,如果 Google 的安全证书已被缓存,它可以离线验证 ID 令牌。这意味着库调用在第一次使用后会变得更快,因为库不必再次对 Google 进行网络调用。使用oauth2/v1/tokeninfo端点总是需要网络调用,所以大部分时间会比较慢。

于 2013-10-04T18:20:16.157 回答
4

好的,我终于偶然发现了解决问题的方法。正如我所怀疑的,答案相当简单。我已经正确地做了很多事情。我的 Web 端点和我的 android 应用程序都在同一个 Google API 控制台项目中。他们分享了Audience等项目条目。

我发现的所有用于验证的示例都假设读者已经知道如何执行此操作,或者假设 PHP 需要生成令牌。最后,我偶然发现了关于验证令牌的 Google OAuth2 文档的这一部分,它让我了解了如何在我的 php 服务器上干净地进行验证。只是验证而已,妈妈!OAuth 足够令人困惑。还有其他示例用于从命令行使用 curl 进行验证。但是,这就是您在 PHP 中调用 tokeninfo 以验证 (1) 令牌是否有效以及 (2) 它适用于您的应用程序的方式。

$mToken = $_POST['mToken'];
$userinfo = 'https://www.googleapis.com/oauth2/v1/tokeninfo?id_token=' . $mToken;
$json = file_get_contents($userinfo);
$userInfoArray = json_decode($json,true);
$googleEmail = $userInfoArray['email'];
$tokenUserId = $userInfoArray['user_id'];
$tokenAudience = $userInfoArray['audience'];
$tokenIssuer = $userInfoArray['issuer'];    

if ( strcasecmp( $tokenAudience, GOOGLE_FULL_CLIENT_ID ) != 0) {
        error_log ( "ERROR:'" . $tokenAudience . "' did not match." );
}

变量 GOOGLE_FULL_CLIENT_ID 保存我的应用程序的受众字符串的值(您可以从应用程序的 Google API 控制台定义页面复制此值)。

在我的解决方案中,我决定使用 _POST 值对“mToken”将从我的 Android 应用程序生成的令牌传递到我的服务器端点。在 Android 中执行此操作的代码如下:

HttpPost httppost = new HttpPost("uri for your server web endpoint");
ArrayList<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>();
nameValuePairs.add(new BasicNameValuePair("mToken", mToken));
try {
        HttpClient httpclient = new DefaultHttpClient();
        httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
        HttpResponse response = httpclient.execute(httppost);
} catch (Exception e) {
        Log.e("HTTP", "Error in http connection " + e.toString());
}
于 2013-07-06T22:13:17.090 回答