我有一个SPA和一个后端API服务。谷歌用户登录SPA,此时我获得他们的访问令牌&id令牌。
后端服务使用谷歌身份来使用id令牌对其用户进行身份验证。然而,其中一个后端服务功能需要从谷歌分析API请求数据,这需要用户访问令牌。
在这种情况下,我是否将id令牌和访问令牌都发送到我的后端服务?
是的,在这种情况下,您可以将访问令牌发送到后端服务,以便它可以联系Google的API。在大多数情况下,访问令牌被用作承载令牌,这意味着拥有该令牌的任何客户端都可以使用该令牌来调用API。这就是为什么你可以将颁发给SPA的令牌传递给后端服务,并且仍然可以调用谷歌的API。
同时,您应该考虑安全方面的影响。您不应该将访问令牌发送到您无法控制的任何服务。也就是说,您不应该向服务XYZ发送访问令牌,因为如果服务XYZ不在您的控制之下,该服务需要它使用用户令牌调用Google的API。