任何人都可以帮助我......? 我想在我的应用程序中使用Google登录作为登录。由于我需要在我的服务器前面对我的用户进行适当的身份验证,因此我需要验证id_token的新鲜度和单次使用。换句话说,id_token应该是最近创建的而不是使用的。相反,冒充可能会发生......
根据OpenId Connect标准,服务器设置nonce或challenge并发送给用户的客户端,该客户端被添加到请求中并作为响应包含在id_token中。此随机数有助于此类验证。
有没有一种方法可以使用Google登录/身份验证一次使用令牌的新鲜度?
非常感谢adavance!
答案 0 :(得分:1)
Google的OpenID Connect规范授权终端是https://accounts.google.com/o/oauth2/v2/auth(您可以在discovery doc中找到Google的OpenID Connect配置)。根据OpenID Connect规范, nonce 实际上是required in the implicit flow。