Google用户在我的网站上进行身份验证后,使用Google JS API,我会收到用户的电子邮件,姓名,用户ID等。 我正在寻找一种方法将用户存储在我的服务器端,并在下次回来时识别他/她。
我发现的解决方案是:“用户ID是您需要存储在数据库中以使用您的Web框架验证用户的唯一内容”。
但我注意到,谷歌用户ID永远不会改变,此外,你可以看到google plus上的每个用户ID。这意味着,我的网站用户很容易被冒充。我应该使用什么来验证我的谷歌oauth用户对服务器端?
答案 0 :(得分:1)
access_token并将其发送到服务器。user_id响应,以便将用户与将来的请求相关联。 access_token只是当前经过身份验证的用户知道的秘密,只要它有效,您就可以假设来自Google的API响应属于该用户。