我在我的网站上使用Google API PHP Client。
用户在我的网站上点击Google登录按钮后登录Google。
我从Google Response收集包含Google个人资料ID数据的数据。
检查,注册和登录逻辑
If Profile ID not exist in my user table:我会将此访问者的Google ID +来自Google Response的其他数据存储到mysql用户表。
If profile ID is exist:我使用会话设置访问者,此用户将直接登录而无需输入密码。
使用此逻辑系统进行登录和注册是否安全?黑客可以使用已经使用唯一令牌,客户端ID和客户端密钥构建的Google PHP API客户端传递Google ID。
我使用PDO驱动程序准备好查询。
答案 0 :(得分:0)
由于Google Php客户端流程在后端工作,具有谷歌的多层安全性(令牌,客户端ID,客户端密码)+我的服务器安全性(例如:CSRF保护);我个人认为Google PHP客户端是安全的。否则,Google帐户会被可以登录客户帐户的人攻击。但问题是"谷歌登录安全吗? (PHP客户端)",回答是“是的,是值得信赖和安全的”#。因为如果有人可以破解电子邮件帐户,即使没有登录Google按钮,黑客也可以重置使用该电子邮件注册的大多数社交和媒体帐户,因为大多数公共用户的网站都使用电子邮件作为验证。