Согласно doc, для аутентификации с сервером бэкэнда я должен:Правильный способ аутентификации с сервером бэкэнда
- отправить ID маркера пользователя к серверу с помощью HTTPS.
- проверить целостность идентификатора и получить идентификатор пользователя из подзадачи идентификатора.
Эта работа достаточно хорошо, но как это сделать, если мне нужно пройти аутентификацию всего запроса на сервер?
Должен ли я хранить idToken (по приватным настройкам) и проверять его каждый раз на стороне сервера? Поскольку idToken имеет дату действия, клиент должен иметь возможность регенерировать его, когда он истек.
Или при первом подключении я должен вернуть одному идентификатору (без даты действительности) пользователю, который позволит ему связываться с сервером (кажется менее безопасным)?
Привет, Томас, просто хотел понять, является ли токен, который вы извлекаете из GoogleSignInOptions, право JWT? Этот токен имеет срок действия всего 1 час. Не могли бы вы помочь мне понять, как обновить этот токен? Я получаю тот же JWT от GSO, хотя он истек. –
Да, это JWT. Перед каждым вызовом API вы должны вызывать 'silentSignIn'. См. Это [ответ] (http://stackoverflow.com/a/37387199/3580745) – ThomasThiebaud
Когда я звоню в silentSignIn через час, я все равно получаю тот же старый токен. Вот мой вопрос SO http://stackoverflow.com/questions/37363213/google-always-returns-expired-id-tokenjwt –