我正在用 React 和 Django(Rest Framework)开发 Web 应用程序。,我希望用户可以使用google account.,
我遵循的方法是implicit grant flow.,我access token在前端得到了。,并将访问令牌发送到后端。然后后端应该使用google. 验证访问令牌,并返回新jwt token的以供将来的请求。一旦用户注销。,同样的循环继续。,
我的客户不想implicit grant flow对其他设备(例如移动设备)重复相同的操作。他们希望authentication完全由后端处理。所以我打算用code exchange flow.
我正在计划的方法。
- 用户单击使用 google 按钮登录
- 将请求发送到 django 后端,获取 clientId 和服务器回调 URL。
- 客户端使用客户端 ID 将请求重定向到 google 和
callback url. - 谷歌向用户询问权限并将访问令牌发送到后端。
在上述方法中,客户端和服务器之间的连接在步骤 3 中断开。我们如何知道后端获得了访问令牌。用户登录?