我的要求:
使用Google登录名作为我网站的唯一登录方法,通过google用户ID创建用户,在有效的Google登录名之后创建身份验证会话。
我看到有两种方法可以做到这一点:
标准Google文档
((步骤1)在前端https://developers.google.com/identity/sign-in/web/sign-in处获取ID令牌
((第2步)在后端https://developers.google.com/identity/sign-in/web/backend-auth中验证令牌ID
使用Spring Security OAuth函数
https://dzone.com/articles/getting-started-with-google-sign-in-in-spring-boot
所以问题是,
我刚完成措施1,发现登录弹出窗口关闭后,前端的状态已更改。在此过程中,没有调用典型的OAuth2元素,例如redirect_uri
,code
和access_token
。那么,这是OAuth还是Google只是为我打包了所有内容,所以我看不到它们?
措施2更好吗?假设您不必处理id_token
和client_id
的泄漏?
涉及的角色不同:
编辑
随着您的更新,我不确定是否了解。 3个等效项
function onSuccess()
中看到的那样,当身份验证成功在弹出窗口中调用this example时,将调用Google包装最后,提供和要求提供相同的信息,在所有情况下,“泄漏”都是相同的。这只是包装上的偏好和习惯。