我已经使用Angular Application的oauth2实现了google-signin。身份验证成功并生成令牌后,我将其存储在LocalStorage / IndexedDB中,并尝试将此令牌,UserProfile信息等发送到我的Flask后端。我将验证令牌并继续流程现在,我想使用用户承载令牌作为我的会话ID,即我正在执行的每个API调用,都将通过对此承载令牌进行验证来完成。
我相信这样做,我将能够避免'创建会话',并且可以利用Google生成的令牌来唯一标识用户和后端调用。
请让我知道这将导致哪些安全漏洞,以及相同的替代方案
尽管在我提出问题时,如何进行仍不清楚,以下是我已完成的工作的摘要-
1-我已将Angular用于前端,并且我已将refered this page2-在这样做时,我的疑问是如何进行用户身份验证以及如何继续注册用户并获取所需的详细信息,例如个人资料,联系方式,地址等。
我做了什么->一旦发布了承载,我就将该信息传递给后端,然后从后端,我接触到各种Google api,并与承载获取了相关信息。
[此承载也被存储在客户端,以确保直到令牌过期,我将继续不发出另一个令牌,同时,当用户会话超时时,我将读取本地存储的(客户端)令牌并在后端对其进行验证,
如果令牌有效,则后端服务器将进入所有作用域的所有信息,并相应地处理其他流。