我有一个后端(弹簧(和一个前端Flutter应用程序。我想实现一个OAuth2流。实现这一点的正确方法是什么。我要实现的第一个服务将是谷歌,但我想保持它的通用性,这样我就可以实现其他服务,比如微软。
我尝试了一种由服务器进行身份验证的工作流程(应用程序请求oauth登录到服务器->使用clientId等重定向->客户端进行身份验证->重定向到服务器并验证-<将登录信息返回到客户端(这是正确的路吗?例如,谷歌不希望你使用内置的应用程序webView小部件。。。
我还尝试了一种分离的方式,即向谷歌OAuth服务器的第一个请求是在获得authCode的应用程序和请求必要信息的服务器中完成的。但这对我不起作用。每次我都会得到不同的错误类型。
我真的陷入了困境很长一段时间,没有找到一个通用的解决方案。。。
好的,我发现,最好和推荐的方法是在后端使用GoogleTokenVerifier来验证和检查oauth请求的accessToken。微软建议采用同样的方式:
https://learn.microsoft.com/de-de/azure/active-directory/develop/access-tokens#validating-代币
https://www.youtube.com/watch?v=j_31hJtWjlw