我使用nodeJs开发一个Web应用程序。大多数功能都受到保护。我使用Oauth2(Google,Twitter)授权用户使用该应用程序。
我必须创建一个Android应用程序,用户在Android应用中使用Google帐户进行身份验证后,通过http与我的后端进行通信。
最佳做法是什么?
我认为OAuth2对这项工作有好处。但是如何?
答案 0 :(得分:0)
您可能需要考虑使用PassportJS(如果您使用ExpressJS作为Web应用程序框架)。
答案 1 :(得分:0)
在这种情况下你不能真正使用oauth。正如How can I verify a Google authentication API access token?所解释的那样,您不应该共享身份验证。
相反,您应该让您的移动应用程序对后端请求使用单独的身份验证。您可以让他们登录一次,生成一些可以存储在手机中的秘密令牌,这样他们就不需要每次登录。无论如何,该令牌都受到谷歌登录的保护。