我使用新的Google身份服务来登录用户到我的web应用程序,调用Google .accounts.id.initialize()。
然后在每个请求时将该id_token作为凭据发送给服务器,服务器使用OAuth2Client.verifyIdToken()来验证用户的身份。
然而,id_token最终到期,我不确定如何在客户端上刷新令牌。这可能吗?
与其每次请求都向服务器发送ID令牌,我建议您只向服务器发送一次ID令牌(这是您第一次尝试对特定用户进行身份验证)。
第一次将ID令牌发送到服务器时,使用它来验证ID令牌,然后向客户端发出JWT令牌。您的客户机可以在需要身份验证或授权的任何时候将此JWT发送到您的服务器。这样,你就可以控制它何时过期,以及如何在过期时刷新它。
这可能是最好的方法去它,因为我不确定谷歌返回一个刷新令牌重新生成ID令牌,你也不能控制何时ID令牌到期。