Boomerand和Streak以及其他类似的浏览器扩展应用程序使用oAuth2将用户授权给谷歌也必须向用户的后端服务器进行身份验证。他们不会在他们的网络后端应用程序中使用单独的登录系统。
我假设他们利用谷歌搭载最初的oAuth2流量并设置第3个自定义令牌以识别用户到他们的后端服务器。
当多个Gmail用户从同一浏览器登录时,这很棘手。扩展程序必须跟踪每个gmail用户并将其与新令牌相关联。
这是他们这样做的吗?您的专家建议如何创建这样的第3个令牌?我正在考虑从客户端浏览器获取电子邮件地址和任何唯一ID,并在服务器上对其进行加密,以便为用户创建令牌。这会足够安全吗?你有什么更好的建议吗?