google用户在我的网站上进行身份验证后,使用google JS API,我获得用户的电子邮件,姓名,用户id等。我正在寻找一种方法来存储用户在我的服务器端,并识别他/她下次他回来。
我发现的解决方案是说:"用户ID是你唯一需要存储在数据库中的东西,以通过你的web框架验证用户"。
但我注意到,谷歌用户id从来没有改变,此外,你可以看到每个用户的id在google +上。这意味着,我的网站用户很容易被冒充。我应该使用什么对服务器端验证我的google oauth用户?
- 获取用户
access_token并发送给服务器 - 让服务器向tokeninfo端点发出请求。
- 存储
user_id响应,将用户与未来的请求关联起来。
access_token是一个只有当前认证的用户知道的秘密,只要它工作,你可以假设来自谷歌的API响应属于该用户。