您好我正在尝试在我的网站上实施Google+登录,我已经完成了所有工作,除了php将检查用户谷歌ID和电子邮件以查看他们是否有帐户或我需要创建一个帐户的部分他们。
我遇到的问题是如何验证php从客户端的javascript中收到的内容实际上是否有效?我的意思是似乎有人可以轻松修改脚本以发送任何谷歌用户ID和电子邮件,然后以任何人身份登录。我该如何防止这种情况?
到目前为止,我一直关注此谷歌指南https://developers.google.com/+/web/signin/add-button
他们没有说明如何在后端验证登录的用户是否真的是真正的用户,我是否使用了错误的用户,我不需要任何离线访问他们的帐户info,仅在他们登录网站并激活时才会显示。
答案 0 :(得分:1)
在您链接的第5步中,有一个成功结果的授权对象。这包含access_token。此access_token是一个秘密,它根据对已授权的特定用户的请求权限来识别和授予访问权限。通过XHR或其他方法将此access_token传递给您的后端,并使用它通过userId设置为me向people.get发出经过身份验证的请求。这将告诉您该用户是谁以及您是否在email范围内请求了他们经过验证的电子邮件地址。