我在我的应用程序中使用 Google+ 身份验证来允许用户登录,并可以访问他们在我的服务器上的“数据”。
认证过程如下:
用户在应用程序上使用 Google+ 登录,并收到访问令牌。
用户将此令牌传递给服务器。
服务器使用这个令牌来验证用户是他们所说的那个人(按照这里显示的过程)。服务器可以根据需要返回数据。
这是我坚持的部分- 我如何验证用户是他们所说的未来请求的人,而无需每次都向 Google 的服务器发出请求?我是否将会话令牌返回给使用的客户端应用程序,并在一段时间后重新生成令牌?
问问题
631 次
2 回答
2
绝对地。发送会话 cookie 正是要做的事情。
于 2013-11-11T17:48:35.123 回答
1
您将需要使用 ID 令牌来验证用户是否就是他们所说的那个人。Github 上有一个Java 示例项目来演示这一点。
此外,您应该将一次性授权代码传递给您的服务器,而不是访问令牌。请参阅从 Android 应用程序获取服务器端令牌的文档。当您拥有该代码时,您将其发送到您的后端,然后将该一次性代码交换为服务器自己的该用户的访问和刷新令牌副本。因为您在后端直接从 Google 接收令牌,所以它们比在移动应用程序和后端之间发送更安全。
于 2013-11-11T22:33:48.523 回答