我已经实现了Android到Web服务器Google身份验证,如下所述:
https://developers.google.com/accounts/docs/CrossClientAuth
它工作正常,但我在实施他们的准则之一时遇到问题:
"会话的第一个请求还包括对后端的查询,即它是否具有代表用户工作所需的范围的适当级别的在线访问。
我通过存储一个持久性cookie来做到这一点,以便Web服务器具有用户身份,并且可以检查它是否具有刷新令牌。但是,如果用户注销或重新安装应用程序(在开发过程中经常发生),则服务器不再有任何方法来识别用户并检查其是否具有刷新令牌。在这种情况下,Android 应用必须获取新令牌。这是非常有问题的,因为谷歌对可以发行的刷新令牌数量有限制。
我觉得我错过了一些非常明显的东西,但我无法弄清楚是什么。有什么帮助吗?
您应该永久存储 Oauth 访问令牌,这不依赖于注销的用户。