最终使用this example我想将数据发送到我的服务器。问题是:如果有人破坏客户端脚本,用其他电子邮件替换电子邮件并将其发送到我的服务器?如何预防?另外,根据oauth标准,我应该使用客户端ID和密钥验证服务器端的数据,但是我没有在这个特定的相关文档中看到有关该数据的任何文档。
答案 0 :(得分:0)
您不会将未受保护的数据从客户端发送到服务器,但您会将用于获取用户信息的访问令牌发送到服务器端,以便服务器端可以从Google上检索该数据自己的
答案 1 :(得分:0)
你应该使用谷歌所称的Server Side Flow(这实际上更像是混合流,涉及客户端和服务器端组件)。
在此设置中,您使用Google+登录按钮导航OAuth握手,但返回的内容包括非常短暂的一次性使用代码。然后,您的客户会将此信息发送到您的服务器,该服务器会将其与Google的服务器进行交换,以获取身份验证令牌,该令牌可用于获取电子邮件和其他用户信息。