我是否必须在每个请求中验证 google tokenID?
Do I have to verify google tokenID on every request?
我正在为网站实施 google 登录功能。我已经设法让用户使用 Google Javascript API 登录。它由google表示,一旦我们获得tokenID,我们必须在后端服务器中对其进行验证,以验证当前登录的用户是否有效。
https://developers.google.com/identity/sign-in/web/backend-auth
我已经设法实现了服务器端验证,我的疑问是我必须在后端为用户的每个请求验证 tokenID 吗?还是应该为用户的每个操作验证它?用户?还是有另一种方法?
有人能指出我正确的道路吗?
谢谢
除非服务器创建会话,否则您不需要发送或验证id_token。如果您确实需要会话,请将 id_token 发送到服务器并进行验证。例如,当您想要个性化用户并在服务器上保存 his/her 数据时,请发送并验证 id_token.
创建会话时只需验证一次id_token。 id_token 证明 Google 已经验证了用户,只要正确验证就可以信任。会话过期后,您应该再次验证 id_token,因为 id_token 已过期 date/time。
我正在为网站实施 google 登录功能。我已经设法让用户使用 Google Javascript API 登录。它由google表示,一旦我们获得tokenID,我们必须在后端服务器中对其进行验证,以验证当前登录的用户是否有效。
https://developers.google.com/identity/sign-in/web/backend-auth
我已经设法实现了服务器端验证,我的疑问是我必须在后端为用户的每个请求验证 tokenID 吗?还是应该为用户的每个操作验证它?用户?还是有另一种方法?
有人能指出我正确的道路吗? 谢谢
除非服务器创建会话,否则您不需要发送或验证id_token。如果您确实需要会话,请将 id_token 发送到服务器并进行验证。例如,当您想要个性化用户并在服务器上保存 his/her 数据时,请发送并验证 id_token.
创建会话时只需验证一次id_token。 id_token 证明 Google 已经验证了用户,只要正确验证就可以信任。会话过期后,您应该再次验证 id_token,因为 id_token 已过期 date/time。