我正在构建一个Android / iOS / Web应用程序,它通过提供程序进行身份验证以接收访问令牌,然后在对node.js后端的API调用中使用该令牌。我已经使用Passport和Facebook-Token策略(https://github.com/drudge/passport-facebook-token)
为Facebook工作了现在我想使用此库https://www.npmjs.org/package/passport-google-token
重复此过程应该很容易,对吗?但谷歌的Android开发者控制台并没有提供客户机密。事实上,如果您想在设备上进行身份验证并使用令牌与服务器通信,那么很少有文档说明该怎么做。用facebook这么简单,有什么我想念的吗?
答案 0 :(得分:0)
FB(或Google)access_token适用于他们的 API,而非您的。此外,与FB和Google等第三方提供商的大多数流量都适用于网站(这是auth code grant)。设备(和SPA)通常使用客户端不需要机密的implicit flow。
您可能需要考虑在您的网站中使用Google或FB(或其他)对用户进行身份验证(使用针对网络流优化的策略),然后发出从中派生的API特定令牌。我建议发布JWT,它们轻巧且易于使用。
在API方面,您可以使用express-jwt。有关其他详细信息,请参阅here。