可能是一个长镜头,但是在通过OAuth对用户进行身份验证并从提供商获取一些用户信息之后,有一种方法可以向第三方证明此用户已通过身份验证以及使用令牌检索到的该信息(例如电子邮件地址)确实是该提供商提供的数据?当然,不共享访问令牌。
在这里对Google和Facebook非常感兴趣,如果有帮助的话。
答案 0 :(得分:0)
一般的标准方法是使用OAuth2 Introspection。
并非所有人都支持这一点(我不知道您的3家提供商中的任何一家都支持)。一个好的回退可能是仅执行一个请求,看看是否成功。