我正在撰写应用程序并使用OAuth进行身份验证和获取用户的电子邮件。我正在成功进行身份验证,但我不确定如何管理会话。我想保护我的资源,但我不认为每次用户进入新页面时都要重新进行身份验证。
当前流程
现在怎么办?
我将OAuth2用于支持它的服务(Facebook,Google),而OAuth1a则用于那些不支持它的服务。
我无法在用户在网站上的时间内找回返回用户的流量并维护身份验证。是否有关于维护会话或回访用户的最佳实践的良好资源?
答案 0 :(得分:0)
当用户通过谷歌登录时,您的应用将获得(刷新+访问)令牌对。您可以使用访问令牌来获取用户的资源,并可以在需要时使用刷新令牌获取更多访问令牌。您的应用可以通过在需要时交换刷新令牌来获得更多访问权限。因此,只要提供商提供刷新令牌就是答案。
有关如何在Facebook上进行此操作的详细信息,请参阅此处 - Refresh token and Access token in facebook API
此外,问题评论中提到的链接包含一个很好的答案,你应该看到。随意发布更多查询。