我正在尝试实施Google One tap sign-up and automatic sign-in。
我可以成功提示用户登录,从Google获取ID令牌,并在服务器上验证它。丢失的地方是我拥有ID令牌后该如何处理? Google's documentation含糊不清。
我得到的印象是我将某些内容发送回浏览器以存储在会话存储中,但我发送了什么以及如何使用它来验证用户是否在将来的请求中进行了身份验证。
答案 0 :(得分:2)
如果您一直到"创建帐户或会话"在该指南中,您已经完成了与Google Identity集成的问题。
从谷歌的角度来看,没有任何东西可以返回浏览器。客户端API已检索到令牌,您已将其发送到您的服务器,您的服务器已使用它成功验证并提取用户的Google帐户信息,验证完成。
接下来会发生什么决定。这取决于您的网站对用户的详细信息(例如,在您的数据库中创建用户,在其余访问时记住这些用户)。
Google Identity不是授权,只是身份验证。它提供身份("谁是这个用户?"),而不是权限("允许用户做什么?","我应该信任这个会话多久对于"?)。用户权限是一个单独的问题。
要记住用户以获取将来的请求,您通常会在服务器上创建一个唯一的,一次性不可预测的会话令牌,并将其存储在仅HTTP的安全会话cookie中。如前所述,这与Google身份无关。