我正在构建Google Chrome扩展程序,并且对如何在应用程序中实现安全性有一些疑问。
我需要访问几个Google API,因此我将使用OAuth 2.0。所以基本上从扩展我知道哪个用户登录到浏览器。
我的扩展需要获取并将数据发布到我的(nodejs)API服务。我想确保请求数据的用户是登录浏览器的用户。有没有办法使用以前的Google身份验证过程来验证扩展程序和我的API之间的通信?我真的不希望用户再次登录,以访问我的API。
我确定我遗漏了一些简单的东西,而且我找不到适合这种情况的任何东西
答案 0 :(得分:1)
如果用户已经登录并且您正在使用Web应用程序流(不是chrome.identity API),则用户无需登录auth进程,但用户将在第一时间看到同意屏幕。但是,如果您已通过提供&login_hint=参数知道电子邮件地址,则可以跳过帐户选择器屏幕。
答案 1 :(得分:1)
关注OpenID Connect auth flow,您将获得access_token and an id_token。您将使用acess_token像往常一样用于向Google API发出经过身份验证的请求。 id_token将用作对服务器的请求的身份验证。
当请求到达您的服务器时,您需要validate the token,然后您可以使用id_token的内容identify the user。