1

今天 - 用户的 Google Drive 访问令牌 - 当用户验证应用程序时获得 - 保存在我的后端,链接到经过身份验证的用户。因此,当用户从任何平台进行一次身份验证时 - 他将拥有与他使用的任何其他平台或设备相同的 Google Drive 访问权限,因为访问令牌保存在后端。

我们希望允许每个客户端使用 Drive SDK,以便在合适的地方直接与 Google Drive 服务进行通信,要求客户端持有并使用连接用户的 Drive 访问密钥。

我们正在寻找一种为用户提供“无缝”Drive 连接的方法。

是否有替代方案,用户不必为每台设备验证我的应用程序?可以将访问令牌从一台设备共享到另一台设备吗?

--

编辑:将刷新令牌排除在问题范围之外 - 让我们假设当令牌过期时,客户端将使用我的后端 API 来刷新访问令牌(因此后端持有刷新令牌)

PS - 我对 Dropbox 服务提出了类似的问题 - Using Dropbox access token from multiple devices

4

1 回答 1

0

尽管它不是一个有限的答案——

我们最终得出的结论是,每个设备都拥有自己的身份验证令牌会更好。虽然在技术上可以将它们保存在后端 - 它会增加安全风险并减少用户通过我们的应用程序对第​​三方提供商的“实际连接设备”的控制。

我们确实认为,鉴于所有平台都使用相同的 Google Drive 应用程序,用户仅在第一次使用时才需要“授予权限”。

于 2019-07-09T21:36:04.350 回答