带谷歌登录的Android应用程序：身份验证流程

Question

您好我正在尝试使用我的应用程序实施Google登录，并且只有经过身份验证的用户才能调用我为应用构建的Rest API。

目前我考虑到了这一点，但我不知道它是否正确和安全：

1. 用户使用Android应用登录
2. android app将idToken发送到后端
3. 后端验证用户idToken并将数据库中的ID（根据google文档包含在令牌中）与基本配置文件信息一起保存 ＃

现在用户已经注册了后端，我们是否必须为用户对Rest API的每次调用重新执行此检查？或者使用我们用令牌获得的ID是否安全？

如果我们采用这种方式传递某种身份验证ID，以便检查api。每次通话，我们都要将它保存在应用程序中，对吧？

我对使用app和后端的oAuth 2系统感到困惑