我们正在尝试在我们的应用中实施Oauth2,在我们的应用中,我们使用Sign In with Google登录,这会返回很多内容,例如:UID,ACCESS_TOKEN ,REFRESH_TOKEN等。我们正在考虑从APP发送到服务器端UID并将其存储到与用户链接的数据库,就像它是密码一样。
从服务器端我们希望每次调用例如:get_products,我们考虑使用access_token,但我们不知道它是来自用户本身的UID还是我们必须创建另一个access_token,其refres_token有到期时间。我们有一个来自用户的UID,另一个来自oauth的access_token和refresh_token。
答案 0 :(得分:0)
我不确定UID引用的值。可能是我以前没见过的东西。
但如果它代表USER IDENTIFIER,那么您不应该使用它来识别最终用户并维护会话。 UID可以是公共标识符,因此任何知道的人都可以与您的服务器通信。另外,考虑通过多个设备登录用户。您的服务器将无法识别正确的会话。
用户access_token发起会话。在您的服务器中,使用user-information endpoint获取有效性详细信息和最终用户信息。或者,您可以选择OpenID Connect。