我已在我的Android应用中集成了Google+登录功能。现在我不想获得用户的朋友列表并将其存储在服务器上。我无法在客户端应用上获取好友列表并将其发送到服务器,因为数据很容易被篡改。所以我考虑使用以下代码生成访问令牌并将其发送到服务器,然后服务器将使用该服务器查询Google+ API并获取用户的朋友。
String accountName = Plus.AccountApi.getAccountName(mGoogleApiClient);
Account account = new Account(accountName, GoogleAuthUtil.GOOGLE_ACCOUNT_TYPE);
String scope = "oauth2:" + Constants.SCOPE_PLUS_LOGIN + " " + Constants.SCOPE_EMAIL;
try {
String accessToken = GoogleAuthUtil.getToken(getApplicationContext(), account, scope);
} catch (IOException | GoogleAuthException e) {
e.printStackTrace();
}
但是使用https直接将访问令牌直接发送到服务器吗?如果令牌被泄露,则任何第三方都可以使用它来窃取用户的个人信息。
或者有没有更好的方法来获取和存储服务器上已签名的用户朋友列表?
答案 0 :(得分:1)
1)始终通过HTTPS传输access_tokens。
2)不要构建从服务器获取access_tokens的任何方法。确保服务器仅支持向其发送access_tokens。
3)access_tokens在一小时后过期,因此滥用窗口有限。