使用来自多个设备的Google Drive访问令牌

时间:2017-12-27 13:20:03

标签: security authentication google-drive-api backend access-keys

今天 - 用户的Google云端硬盘访问令牌 - 在用户对应用进行身份验证时获得 - 会保留在我的后端,并与经过身份验证的用户相关联。因此,当用户从任何平台进行一次身份验证时 - 他将使用与其使用的任何其他平台或设备相同的Google云端硬盘访问权限,因为访问令牌保留在后端。

我们希望允许每个客户端使用Drive SDK,以便直接与Google云端硬盘服务进行通信,并要求客户端保留并使用已连接用户的云端硬盘访问密钥。

我们正在寻找一种为用户提供“无缝”驱动器连接的方法。

是否有替代方案,用户无需为每台设备验证我的应用? 访问令牌可以从一个设备共享到另一个设备吗?

-

编辑:将刷新令牌排除在问题范围之外 - 让我们假设当令牌过期时,客户端将使用我的后端API刷新访问令牌(因此后端持有刷新令牌)

P.S。 - 我问Dropbox服务的类似问题 - Using Dropbox access token from multiple devices

1 个答案:

答案 0 :(得分:0)

尽管它不是一个有限的答案-

我们最终得出结论,每个设备最好拥有自己的身份验证令牌。虽然从技术上讲可以将它们保留在后端,但是这会带来安全风险,并通过我们向第三方提供商提供的应用减少用户对其“实际连接的设备”的控制。

我们确实认为,假设所有平台都使用相同的Google Drive应用程序,则用户仅在首次使用时才需要“授予权限”。