android - Android（谷歌登录）：如何验证服务器上ID令牌的完整性？

Question

我使用这种方法获取id token：

GoogleSignInAccount acct = googleSignInResult.getSignInAccount();
String toekn_id = acct.getIdToken();

现在，如何验证服务器上 ID 令牌的完整性？

谷歌：

警告：不要在后端服务器上接受普通用户 ID，例如可以通过 GoogleSignInAccount.getId() 方法获得的用户 ID。修改后的客户端应用程序可以将任意用户 ID 发送到您的服务器以模拟用户，因此您必须改为使用可验证的 ID 令牌来安全地获取服务器端登录用户的用户 ID。

score 3 · Accepted Answer

从文档：https ://developers.google.com/identity/sign-in/web/backend-auth#using-a-google-api-client-library

import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.Payload;
import com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier;

...

GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
    .setAudience(Arrays.asList(CLIENT_ID))
    // If you retrieved the token on Android using the Play Services 8.3 API or newer, set
    // the issuer to "https://accounts.google.com". Otherwise, set the issuer to
    // "accounts.google.com". If you need to verify tokens from multiple sources, build
    // a GoogleIdTokenVerifier for each issuer and try them both.
    .setIssuer("https://accounts.google.com")
    .build();

// (Receive idTokenString by HTTPS POST)

GoogleIdToken idToken = verifier.verify(idTokenString);
if (idToken != null) {
  System.out.println("Valid ID token.");

} else {
  System.out.println("Invalid ID token.");
}

您可以在此处阅读 API 文档：http: //javadoc.google-api-java-client.googlecode.com/hg/1.18.0-rc/com/google/api/client/googleapis/auth/oauth2/GoogleIdTokenVerifier。 html

要使用 API，请将以下内容添加到 build.gradle：

repositories {
    mavenCentral()
}
dependencies {
    compile 'com.google.api-client:google-api-client:1.20.0'
}

android - Android（谷歌登录）：如何验证服务器上ID令牌的完整性？

1 回答 1

Related

Reference