使用OAuth2.0的/混合的OpenID身份驗證Android應用程序和Web應用程序（後端服務器）

Question

首先請善待，因爲我仍然在努力把握整體的OpenID/OAuth2.0的。

我最近參加了在比利時的Devoxx 2012年會議。 Tim Bray presented能夠使用Oauth2.0和OpenId的混合方法（我相信它被稱爲OpenId Connect）。這是描述它的slide。如果我理解正確，他表示Android應用程序可以進行身份​​驗證（接收令牌），然後爲服務器端Web應用程序請求令牌。這將允許服務器端接收服務器令牌並檢查令牌是否真正有效。驗證這是真正來自Android應用程序的已認證用戶。完成此操作後，服務器端Web應用程序就可以安全地與Android應用程序進行交互。

我已經能夠使用com.google.android.gms.auth.GoogleAuthUtil.getToken爲Android應用程序進行身份驗證。

我創建了一個「客戶端ID爲安裝的應用程序」，在谷歌的API控制檯（https://code.google.com/apis/console/）的API訪問權限下。我還在同一個控制檯下創建了一個Web應用程序，但是當我按照幻燈片進行操作時，我無法獲取應發送到Web應用程序的令牌（通過https）。我確信我只是缺少一個簡單的步驟，或者只是沒有完全理解它，但我將不勝感激任何幫助。

感謝，

亞歷

Answer 1

在幻燈片，這是寫的範圍必須是 「觀衆：服務器：XXX」。 但在his blog post中，Tim Bray說，範圍 「觀衆：服務器：CLIENT_ID：XXX」 試試這一個。

而且，我的錯誤是建立在相同的控制檯，但不是在同一個項目中2的客戶端ID。確保你做得對。