1

我正在开发的应用程序包含两部分:

  1. 原生安卓应用
  2. 网络服务

我想在应用程序和基于用户谷歌帐户的网络服务之间实现一个登录过程。阅读谷歌的开发者网站我了解如何让用户在他的移动设备上授权一个 API 项目,我不明白的是如何将它传递给服务器以及如何处理原生 android 应用程序和我的 web 服务之间的通信.

移动应用程序对 Google auth 服务器使用 oauth2 并获得它的访问令牌这一事实如何保护它与我的服务器端的通信?

澄清

假设本机应用程序对 Google 执行身份验证过程并接收令牌。然后应用程序可以访问用户个人资料并获取他的电子邮件地址 - 电子邮件地址肯定是他的。现在用户将 POST 数据中的电子邮件地址发送到我的服务。电子邮件是他的,但服务器无法验证它。因此,假设有人发现应用程序发送到我的服务器的 url 路径和 POST 数据语法,然后他可以将任何电子邮件地址注入该调用。服务器如何验证电子邮件地址是否有效?

4

1 回答 1

2

要验证应用用户,请查看这篇文章: 验证来自 Android 应用的后端调用

  1. 在应用程序中,您可以通过Google Play Services简单地接收 Google 令牌 ID ,这非常简单。
  2. 然后,您将此令牌发送到您的后端,在那里您可以根据 Google API 对其进行验证。有一些库可以为您处理这个问题(例如PHP)。如果您想处理此问题,此答案中的有效负载还包含用户的电子邮件和 ID。
于 2013-08-02T11:18:31.427 回答