我们想在我们的应用程序中实现“使用 LinkedIn 登录”。由于该应用程序具有 JS 前端和基于 REST 的后端,因此我们决定将 JSAPI 令牌交换为 REST API OAuth 令牌,如此处所述。
如果用户成功登录,前端将带有客户端不记名令牌和成员 ID 的凭据 cookie 发送到后端。在后端,我们检查是否已经存在具有此类成员 ID 的用户,如果不存在,我们将 JSAPI 令牌交换为 REST API OAuth 令牌,从 LinkedIn 检索用户详细信息并将其存储在我们的数据库中。
现在的问题是我们是否可以使用该 cookie 来验证每个用户对 REST 后端的请求。用户通过 JSAPI 成功登录后,cookie 应在所有后续请求中自动传递到我们的后端,以便我们检查成员 ID。有没有我们遗漏的缺点?还是这个想法整体上是错误的?
我们是否应该通过 cookie 只对用户进行一次身份验证,然后发出我们自己的身份验证令牌并将其发送回客户端?