用于"黑客一周"的快速项目,我的团队实施了Google登录作为用户的注册/身份验证。它的工作方式:
- 用户在客户端(Android iOS)上使用SDK签名,并请求Access_Token
- 客户端接收acces_token并将每个网络请求的令牌用于后端作为查询参数
- 我们的后端不代表用户与Google服务互动
我面临的问题是Google SDK返回的提供的Access_Token是短暂的(60分钟)。这基本上使我提出了两个问题/问题:
-
短生的访问_token甚至是要使用这种方式吗?我已经习惯了另一个流程,您只使用Google或任何其他Auth提供商返回的令牌来验证您的后端,然后使用您自己的身份验证机制(也可能基于令牌)。
-
如果我错了。我理解的方式是Google SDK启动了一项活动以登录的结果,我宁愿在没有上下文的情况下处理数据层中的所有网络。在我每次要求后端请求后端之前,我是否会检查该令牌的有效性,还是在获得401回复或类似内容后开始一些刷新?
我在那个领域有些新,我对团队中的后端家伙是对与错进行了很多讨论。我认为第一名是对的,他说第二。我可能在这里错了。一些不错的输入或资源将很棒,因为在线所有文档只是没有回答这两个问题。
使用一件事使用您的Google提供的访问令牌,以在您的后端生成新的访问令牌,并将登录/注册时的令牌发送给客户端。现在,您的每个请求将使用此令牌来识别用户并跟踪所有内容。这也不会过期。我在应用程序中使用了它,并且可以完美地工作。