我已经实现了 Android 到 Web 服务器的 Google 身份验证,如下所述:
https://developers.google.com/accounts/docs/CrossClientAuth
它工作正常,但我无法实施他们的指导方针之一:
“会话的第一个请求还包括对后端的查询,以了解它是否具有适当级别的在线访问权限来代表用户工作所需的范围。”
我通过存储一个持久性 cookie 来做到这一点,以便 Web 服务器具有用户身份,并且可以检查它是否具有刷新令牌。但是,如果用户退出或重新安装应用程序(在开发过程中经常发生),服务器将不再有任何方法来识别用户并检查它是否具有刷新令牌。在这种情况下,Android 应用程序必须获得一个新的令牌。这是非常有问题的,因为谷歌对可以发布多少刷新令牌有限制。
我觉得我错过了一些非常明显的东西,但我不知道是什么。有什么帮助吗?