我正在使用谷歌功能登录网站。我已设法使用Google Javascript API登录用户。谷歌表示,一旦我们获得了tokenID,我们就必须在后端服务器中对其进行验证,以验证当前登录的用户是否有效。
https://developers.google.com/identity/sign-in/web/backend-auth
我已经成功实现了服务器端验证,我的疑问是,我必须为用户的每个请求验证后端的tokenID吗?或者我应该为用户的每个操作验证它吗?还是有另一种方法吗?
有人可以指出我正确的道路吗? 感谢
答案 0 :(得分:2)
除非服务器创建会话,否则您无需发送或验证id_token。如果确实需要会话,请将id_token发送到服务器并进行验证。例如,当您想要个性化用户并将他/她的数据保存在服务器上时,请发送并验证id_token。
创建会话时,只需要验证一次id_token。 id_token是Google已验证用户的证明,只要经过正确验证,您就可以信任该用户。会话到期后,您应该再次验证id_token,因为id_token具有到期日期/时间。