我正在为一个网站实现使用 google 登录的功能。我已经设法让用户使用 Google Javascript API 登录。谷歌表示,一旦我们得到tokenID,我们必须在后端服务器中验证它,以验证当前登录的用户是否有效。
https://developers.google.com/identity/sign-in/web/backend-auth
我已经设法实现了服务器端验证,我的疑问是我必须在后端为用户的每个请求验证 tokenID 吗?还是应该为用户的每个操作验证它?还是有另一种方法?
有人能指出我正确的道路吗? 谢谢
最佳答案
除非服务器创建 session ,否则您不需要发送或验证 id_token。如果您确实需要 session ,请将 id_token 发送到服务器并进行验证。例如,当你想个性化用户并将他/她的数据保存在服务器上时,请发送并验证 id_token。
创建 session 时只需要验证 id_token 一次。 id_token 是 Google 已经对用户进行身份验证的证明,只要经过正确验证,您就可以信任该用户。一旦 session 过期,您应该再次验证 id_token,因为 id_token 有过期日期/时间。
关于javascript - 我是否必须在每次请求时验证 google tokenID?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36082942/