我正在构建一个仅限移动设备的应用程序,我使用OAuth 2.0通过Google和Facebook处理用户登录。当用户尝试使用Google策略登录时,客户端会获得一个Access Token&来自Google API的刷新令牌。
我将这些令牌传递给服务器(node.js)并使用访问令牌通过调用https://www.googleapis.com/oauth2/v1/tokeninfo&来验证第一次的请求。通过访问令牌。
我将在服务器端(在数据库中)和客户端(原生Android)上存储刷新令牌。
用户通过身份验证后,对于从本机客户端到服务器的每个后续请求,我想要授权请求..我应该使用本机上保存的刷新令牌并发送它到服务器验证它?服务器是否应该针对DataBase条目验证此刷新令牌,还是通过Web服务调用Google API进行验证?
或者还有其他基于令牌的身份验证方式吗?
感谢任何帮助!