Я создаю сервер Backend, который получает идентификатор ID из мобильного приложения (iOS). Как я могу проверить, что этот токен в порядке, и его можно безопасно использовать?Google OpenID Connect: как проверить id_token?
Официальная документация компании Google о проверке токена:
https://developers.google.com/identity/protocols/OpenIDConnect#validatinganidtoken
Он рекомендует проверять ID Токен локально, без отправки запроса подтверждения в Google. Можно ли проверить некоторые поля из идентификатора ID локально, как в документации, или, может быть, я должен отправить какой-либо запрос в Google, чтобы проверить токен?
документации Google упоминает об отладке и проверке идентификатора токен с:
https://www.googleapis.com/oauth2/v3/tokeninfo?id_token=XYZ123
Но не рекомендуется использовать его в производстве. Я думал также об использовании токена доступа вместе с идентификатором Токеном и проверить маркер доступа сначала:
https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=
Но он делает весь процесс проверки учетных клиента (мобильное приложение, веб-приложение) более безопасным?
Возможный дубликат [Подтвердить токен идентификатора Google] (http://stackoverflow.com/questions/39061310/validate-google-id-token) –