0

有谁能够帮我...?我想在我的应用程序中使用 Google 登录作为登录。由于我需要在服务器前对用户进行适当的身份验证,因此我需要验证 id_token 的新鲜度和一次性使用。换句话说,id_token 应该是最近创建的,而不是使用的。相反,可能会发生冒充...

根据 OpenId Connect 标准,服务器设置了一个 nonce 或 challenge 并发送到用户的客户端,将其添加到请求中并作为响应包含在 id_token 中。这个 nonce 有助于这种验证。

有没有一种方法可以使用 Google 登录/身份验证一次性使用令牌的新鲜度?

非常感谢!

4

1 回答 1

1

Google 的符合 OpenID Connect 规范的授权端点是https://accounts.google.com/o/oauth2/v2/auth (您可以在发现文档中找到 Google 的 OpenID Connect 配置)。根据 OpenID Connect 规范,隐式流中实际上需要随机数

这是一个示例请求:https ://accounts.google.com/o/oauth2/v2/auth?redirect_uri=https%3A%2F%2Fdevelopers.google.com%2Foauthplayground&response_type=id_token&client_id=407408718192.apps.googleusercontent.com&scope=电子邮件+个人资料&nonce=onetimenonce

于 2016-01-28T06:02:33.550 回答