在谷歌开发者服务器流文档中: https://developers.google.com/+/web/signin/server-side-flow
它表示您必须使用客户端发送的用户身份验证从服务器获取的用户ID。
if ($tokenInfo->userid != $gPlusId) {
return new Response(
"Token's user ID doesn't match given user ID", 401);
}
但是,我不确定客户端javascript应该如何知道google id是什么。我很确定它现在是callBack的authresult的一部分。
我能想到的唯一方法就是客户本身是否打电话给谷歌以获取它自己的googleid。
这样做的正确方法是什么?
由于
答案 0 :(得分:0)
简答(来自我的阅读) -
我在阅读期间找到了一些答案。碰巧java快速启动应用程序指南有gplus_Id,但php没有。然而,如上所述(步骤8),单点登录流程正在使用它。谷歌讨论here提到---“请参阅此处稍微相关的讨论:https://github.com/googleplus/gplus-quickstart-php/pull/7
gplus_id通常与一次性代码一起从客户端发送到服务器,但它并没有真正添加任何额外的安全性,因此它已从php示例中删除。
但是,应该调整文档以匹配当前的示例代码。
(Java快速入门示例已更新,不再发送gplus_id ......)“。
我希望它有帮助:)。