我正在将google auth2.0用于休息服务(网络单页应用)。 我仅将其用于识别和注册用户。
我的问题是关于令牌和安全性的最佳实践管理。
用户通过googleAuth注册后,他可以读取和写入一些数据,每次读取/写入数据时,客户端都必须发送id_token,并且服务器会在允许任何操作之前验证时间戳(使用google-auth-library)。
这是正确的方法吗?
我应该将令牌存储在数据库中吗?
由于令牌很长(〜1000个字符),是否有更好的方法来验证每个请求,而无需发送整个令牌并在服务器端进行验证?
谢谢
我只想证明我除了身份服务之外没有使用任何Google api服务。 所有其余服务都在后端服务器(nodejs)中实现,我每次用户尝试通过nodejs服务器读取或写入我的应用程序资源时都只需要标识一次即可。 我可以通过某种方式使用Google access_token吗??? 还是我每次都要验证google id_token?