我应该在Google登录中持久存储ID令牌吗?

时间:2016-07-28 18:24:16

标签: google-api google-signin

我在我的应用中使用Google登录,一旦用户登录并且检索到ID令牌,我就会将ID令牌发送到我的反手服务器。现在我将ID令牌添加到每个HTTP请求的标头中,然后验证它,获取用户的ID并将数据回复给我的应用程序。我想知道是否可以持久存储ID令牌并将其用于将来的所有请求。 ID令牌会在一段时间内更改还是过期?如果是这样,如何获得新的ID令牌?除了要求用户再次登录之外,我找不到任何其他方法。或者我应该只验证ID令牌一次并在将来的请求中直接使用ID吗?

1 个答案:

答案 0 :(得分:3)

不要存储ID令牌。 Google ID令牌的有效期为一小时,并且会过期,您只需在应用中使用silentSignIn即可获得新的,而无需任何用户互动。如果您的现有令牌尚未过期,您将获得(缓存)版本(OptionalPendingResult返回将有isDone() == true);如果它已经过期,您将获得一个刷新的(但它会花费更长的时间,因此OptionalPendingResult isDone()将是false)。

这是sample code(UI线程,请参阅下面关于工作线程的说明):

    GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN)
            .requestIdToken(getString(R.string.server_client_id))

    mGoogleApiClient = new GoogleApiClient.Builder(this)
            .enableAutoManage(this /* FragmentActivity */, this /* OnConnectionFailedListener */)
            .addApi(Auth.GOOGLE_SIGN_IN_API, gso)
            .build();

...

    OptionalPendingResult<GoogleSignInResult> opr = Auth.GoogleSignInApi.silentSignIn(mGoogleApiClient);
    if (opr.isDone()) {
        // If the user's cached credentials are valid, the OptionalPendingResult will be "done"
        // and the GoogleSignInResult will be available instantly.
        Log.d(TAG, "Got cached sign-in");
        GoogleSignInResult result = opr.get();
        handleSignInResult(result);  // result.getSignInAccount().getIdToken(), etc.
    } else {
        // If the user has not previously signed in on this device or the sign-in has expired,
        // this asynchronous branch will attempt to sign in the user silently.  Cross-device
        // single sign-on will occur in this branch.
        opr.setResultCallback(new ResultCallback<GoogleSignInResult>() {
            @Override
            public void onResult(GoogleSignInResult googleSignInResult) {
                handleSignInResult(googleSignInResult);  // result.getSignInAccount().getIdToken(), etc.
            }
        });
    }

请记住是否在UI线程或工作线程上调用silentSignIn。如果您在工作线程上调用它,请使用blockingConnect() + await()查看此帖子,这样可以简化代码: Silent sign in to retrieve token with GoogleApiClient

相关问题
最新问题