我是否必须在每个请求上验证谷歌令牌ID



我正在为网站实现使用谷歌功能登录。我已经设法使用Google Javascript API登录用户。谷歌表示,一旦我们获得tokenID,我们必须在后端服务器中对其进行验证,以验证当前登录的用户是否有效。

https://developers.google.com/identity/sign-in/web/backend-auth

我已经设法实现了服务器端验证,我的疑问是我是否必须为用户的每个请求验证后端的tokenID?,或者我应该为用户的每个操作验证它?或者有没有另一种方法?

有人可以指出我正确的道路吗?谢谢

除非服务器创建会话,否则您无需发送或验证id_token。如果确实需要会话,请将id_token发送到服务器并进行验证。例如,当您想要个性化用户并将其数据保存在服务器上时,请发送并验证id_token。

创建会话时,只需验证一次id_token。 id_token证明Google已对用户进行身份验证,只要正确验证,您就可以信任该用户。会话过期后,应再次验证id_token id_token具有过期日期/时间。

相关内容

  • 没有找到相关文章

最新更新